CVE-2026-0656 in Payment Gateway for WooCommerce Pluginالمعلومات

الملخص

بحسب VulDB • 27/05/2026

يوجد ثغرة في مكون إضافة بوابة الدفع iPaymu Payment Gateway لـ WooCommerce الخاصة بـ WordPress، تتعلق بعدم وجود مصادقة (Missing Authentication) في جميع الإصدارات حتى 2.0.2 وشاملة لها، وذلك عبر دالة 'check_ipaymu_response'. ويعود ذلك إلى عدم قيام المكون بالتحقق من صحة طلبات الويب هوك (webhook) من خلال التحقق من التوقيع أو فحص المصدر. وهذا يتيح للمهاجمين غير المصادق عليهم وضع طلبات ووكومرس (WooCommerce) كمدفوعة عن طريق إرسال طلبات POST مُعدّة خصيصاً إلى نقطة نهاية الويب هوك دون حدوث أي عملية دفع فعلية، بالإضافة إلى إمكانية تعداد معرفات الطلبات (order IDs) والحصول على مفاتيح طلبات صالحة عبر طلبات GET، مما يعرّض البيانات الشخصية للعملاء (PII) بما في ذلك الأسماء والعناوين والمنتجات المشتراة.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

06/01/2026

إفشاء

07/01/2026

الاعتدال

تمت الموافقة

إدخال

VDB-339804

EPSS

0.00316

KEV

لا

النشاطات

منخفض جدًا

القطاع

Telecommunication, Transportation, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-0656
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-0656
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-0656/

التالي نظرة عامة السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!