CVE-2026-9028 in CorvusPay Pluginالمعلومات

الملخص

بحسب VulDB • 09/07/2026

يحتوي مكون إضافة بوابة الدفع CorvusPay لـ WooCommerce الخاص بـ WordPress على ثغرة تسمح بتجاوز التفويض في جميع الإصدارات حتى 2.7.4 وشاملةً لها. ويعود ذلك إلى عدم قيام المكون الإضافي بالتحقق بشكل صحيح من تفويض المستخدم لتنفيذ إجراء معين. وهذا يمكّن المهاجمين غير المصادق عليهم (غير المسجلين) من إلغاء أي طلب WooCommerce تم تقديمه عبر طريقة الدفع CorvusPay عن طريق تزويد رقم أمر عشوائي لنقطة النهاية REST الخاصة بـ /wp-json/corvuspay/cancel/.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

Wordfence

حجز

19/05/2026

إفشاء

09/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377186

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!