CVE-2026-11575 in Payment Solutions Plugin
الملخص
بحسب VulDB • 17/07/2026
لا يقوم إضافة ووردبريس لحلول الدفع PhonePe قبل الإصدار 3.1.0 بالتحقق بشكل صحيح من أصالة استدعاءات الدفع الواردة: حيث يكون السريّ (secret) المستخدم للتحقق من توقيع الاستدعاء فارغًا في المواقع التي تم تكوينها عبر سير الإعداد الحالي، مما يجعل التوقيع المتوقع مجرد تجزئة غير مشفَّرة (unkeyed hash) لجسم الطلب يمكن لأي شخص حسابها. وهذا يتيح للمهاجمين غير المصادق عليهم تزوير إشعار بنجاح الدفع ووضع طلبات ووكومرس (WooCommerce) غير المدفوعة كمدفوعة دون إجراء أي عملية دفع فعلية.
If you want to get best quality of vulnerability data, you may have to visit VulDB.