平台
wordpress
组件
charitable
修复版本
1.8.10
CVE-2026-3177 是 WordPress Charitable 插件中发现的数据验证不足漏洞。该漏洞允许未经身份验证的攻击者伪造 Stripe webhook 支付事件,从而在没有实际支付的情况下标记捐款为已完成,可能导致财务损失和数据篡改。该漏洞影响 Charitable 插件的 1.0.0 至 1.8.9.7 版本。已发布 1.8.10 版本修复此问题。
CVE-2026-3177 影响 WordPress 的 Charitable 插件,该插件用于筹款和定期捐款。由于缺乏对 Stripe webhook 事件的适当加密验证,未经授权的攻击者可以伪造 payment_intent.succeeded 负载。这可能导致未处理的捐款被错误地标记为已完成,即使实际上没有进行任何支付。主要影响是慈善机构的财务损失,因为会记录不存在的捐款,并且如果出现不一致,可能会损害捐助者的信任。该问题的严重程度被评为 CVSS 5.3,表明存在中等风险。为了减轻这种风险,必须将插件更新到 1.8.10 或更高版本。
攻击者可以通过向使用 Charitable 插件的 WordPress 实例发送伪造的 payment_intent.succeeded webhook 负载来利用此漏洞。由于缺乏适当的加密验证,这些负载将由插件接受,从而将捐款标记为已完成。攻击者不需要对服务器或数据库进行直接访问;他们只需要能够将 HTTP 请求发送到为插件配置的 webhook 端点即可。Exploit 的难度相对较低,因为它不需要高级技术技能或复杂工具。Exploit 的可能性取决于插件的受欢迎程度以及网站管理员对该漏洞的了解程度。
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
CVSS 向量
解决 CVE-2026-3177 的方法很简单:将 Charitable WordPress 插件更新到 1.8.10 或更高版本。此更新实现了必要的加密验证,以验证 Stripe webhook 的真实性。此外,请检查最近的捐款记录,以识别可能因该漏洞而创建的任何可疑交易。实施定期财务交易审计并监控 WordPress 安全警报是防止未来事件的最佳实践。在应用任何更新之前,请务必对整个网站进行完整备份。
更新到 1.8.10 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
Webhook 是一种接收来自另一个应用程序(在本例中为 Stripe)的事件的实时通知的方法。它允许 Charitable 知道何时支付已完成。
加密验证可确保 webhook 来自 Stripe 且未被攻击者篡改。否则,攻击者可以发送虚假数据并欺骗插件。
仔细检查最近的捐款记录,查找任何可疑交易。如果找到任何,请联系您的银行和 Stripe 以进行进一步调查。
没有专门用于检测这种类型攻击的工具,但监控捐款日志并查找异常模式可以提供帮助。
保持 WordPress、插件和主题更新。使用强密码和双因素身份验证。定期备份您的网站。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。