AVideo: IDOR in PayPalYPT Plugin Allows Any Authenticated User to Cancel Arbitrary PayPal Subscription Agreements — CVE-2026-43883
GitHub · GitHub · CVE-2026-43883
ID
CVE-2026-43883
CVE-2026-43883
Date
Mis à jour
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
medium
medium
CVSS
4.2
4.2
EPSS
0.00036
0.00036
Résumé
## Summary `plugin/PayPalYPT/agreementCancel.json.php` cancels a PayPal billing agreement using an attacker-supplied `agreement` parameter without verifying that the authenticated user owns the agreement. A low-privilege authenticated user who learns or obtains another user's PayPal billing agreement ID can silently suspend the victim's recurring subscription, causing revenue loss to the platform and loss of paid…
Produit
composer: wwbn/avideo
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.