CVE-2026-11575 in Payment Solutions Plugininfo

Zusammenfassung

von VulDB • 17.07.2026

Das WordPress-Plugin PhonePe Payment Solutions vor Version 3.1.0 überprüft die Authentizität eingehender Zahlungs-Calls-backs nicht ordnungsgemäß: Das zur Validierung der Call-back-Signatur verwendete Geheimnis ist auf Websites, die über den aktuellen Einrichtungsprozess konfiguriert wurden, leer; daher reduziert sich die erwartete Signatur auf einen ungesicherten Hash des Anforderungstextes (Request Body), den jeder berechnen kann. Dies ermöglicht es nicht authentifizierten Angreifern, eine Benachrichtigung über den Zahlungserfolg zu fälschen und unbezahlte WooCommerce-Bestellungen als bezahlt zu markieren, ohne dass tatsächlich eine Zahlung erfolgt ist.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

WPScan

Reservieren

08.06.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379762

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!