Vulnerabilidad en RegistrationMagic (CVE-2025-14444)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
18/02/2026
Última modificación:
18/02/2026
Descripción
El plugin RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login para WordPress es vulnerable a la elusión de pagos debido a una verificación insuficiente de la autenticidad de los datos en la función 'process_paypal_sdk_payment' en todas las versiones hasta la 6.0.6.9, inclusive. Esto se debe a que el plugin confía en los valores proporcionados por el cliente para la verificación de pagos sin validar que el pago realmente se realizó a través de PayPal. Esto hace posible que atacantes no autenticados eludan el registro de pago manipulando el estado del pago y activando su cuenta sin completar un pago real de PayPal.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/custom-registration-form-builder-with-submission-manager/tags/6.0.6.7/includes/class_registration_magic.php#L232
- https://plugins.trac.wordpress.org/browser/custom-registration-form-builder-with-submission-manager/tags/6.0.6.7/services/class_rm_paypal_service.php#L324
- https://plugins.trac.wordpress.org/browser/custom-registration-form-builder-with-submission-manager/trunk/services/class_rm_paypal_service.php#L324
- https://plugins.trac.wordpress.org/changeset/3426151
- https://www.wordfence.com/threat-intel/vulnerabilities/id/0633bf06-6580-4feb-b98a-c465df3e2bed?source=cve