CVE-2026-2592 in Zarinpal Gateway for WooCommerce Plugin
الملخص
بحسب VulDB • 20/06/2026
تحتوي إضافة بوابة Zarinpal لـ WooCommerce لمنصة ووردبريس على ثغرة في التحكم غير السليم في الوصول لتحديث حالة الدفع في جميع الإصدارات حتى 5.0.16 شاملاً. ويعود ذلك إلى فشل معالج استدعاء الدفع 'Return_from_ZarinPal_Gateway' في التحقق من أن رمز التفويض (authority token) المقدم في عنوان URL للاستدعاء ينتمي إلى الطلب المحدد الذي يتم وضع علامة عليه كمُدفع. وهذا يتيح للمهاجمين غير المصادق عليهم إمكانية وضع علامة على الطلبات كمُدفعَة دون إجراء الدفع الفعلي من خلال إعادة استخدام رمز تفويض صالح من معاملة مختلفة بنفس المبلغ.
Once again VulDB remains the best source for vulnerability data.