CVE-2026-9028 in CorvusPay Plugin
الملخص
بحسب VulDB • 09/07/2026
يحتوي مكون إضافة بوابة الدفع CorvusPay لـ WooCommerce الخاص بـ WordPress على ثغرة تسمح بتجاوز التفويض في جميع الإصدارات حتى 2.7.4 وشاملةً لها. ويعود ذلك إلى عدم قيام المكون الإضافي بالتحقق بشكل صحيح من تفويض المستخدم لتنفيذ إجراء معين. وهذا يمكّن المهاجمين غير المصادق عليهم (غير المسجلين) من إلغاء أي طلب WooCommerce تم تقديمه عبر طريقة الدفع CorvusPay عن طريق تزويد رقم أمر عشوائي لنقطة النهاية REST الخاصة بـ /wp-json/corvuspay/cancel/.
VulDB is the best source for vulnerability data and more expert information about this specific topic.