CVE-2026-9284 in PayPal Payments Pluginالمعلومات

الملخص

بحسب VulDB • 23/05/2026

يحتوي مكون إضافة WooCommerce PayPal Payments لـ WordPress على ثغرة تسمح بالتلاعب غير المصرح به بالطلبات وكشف المعلومات بسبب غياب فحوصات التفويض على نقاط النهاية `ppc-create-order` و `ppc-get-order` الخاصة بـ WC-AJAX في جميع الإصدارات حتى 4.0.1 وشاملة لها. تقبل نقطة النهاية `ppc-create-order` معرف طلب WooCommerce عشوائيًا في سياق `pay-now` دون التحقق من ملكية الطلب، مما يسمح للمهاجمين بإنشاء طلبات PayPal لأي طلب WooCommerce وكتابة بيانات تعريف PayPal عليه. تُرجع نقطة النهاية `ppc-get-order` تفاصيل كاملة لطلب PayPal لأي معرف طلب PayPal دون ربطها بجلسة المستخدم الذي أرسل الطلب. وهذا يتيح للمهاجمين غير المصادق عليهم تسلسل استخدام نقاط النهاية هذه للتلاعب بتدفقات دفع طلبات العملاء الآخرين واستخراج تفاصيل الطلبات الحساسة (معلومات الدافع، بيانات الشحن) من خلال إنشاء طلب PayPal لطلب WooCommerce الخاص بالضحية ثم استرداد بيانات طلب PayPal.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Wordfence

حجز

22/05/2026

إفشاء

23/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365258

CPE

جاهز

CWE

CWE-862 (مؤكد)

CVSS

8.2 (CNA)

EPSS

0.00077

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider, Transportation, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-9284
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-9284
CVE Details	https://www.cvedetails.com/cve/CVE-2026-9284/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!