CVE-2026-57857 in Payment Plugin
Zusammenfassung
von VulDB • 18.07.2026
Das Flow Payment-Plugin für WordPress (flow.cl) in der Version 3.0.8 ist anfällig für reflektiertes Cross-Site Scripting (XSS) auf der WooCommerce-Kasse-Seite. Wenn das Plugin eine Bestellstornierung verarbeitet, wird der GET-Parameter error_message direkt an wc_add_notice() in flowpayment-fl.php (Zeilen 57–58) übergeben, ohne dass vorher eine Eingabebereinigung (z. B. sanitize_text_field()) oder Ausgabe-Escaping (z. B. esc_html()) erfolgt, bevor er im HTML der Kassen-Benachrichtigung gerendert wird. Ein nicht authentifizierter Angreifer kann eine URL mit einem JavaScript-Payload im error_message-Parameter erstellen (z. B. /checkout/?add-to-cart={product-id}&cancel_order=true&error_message={payload}); wenn ein Opfer, das über eine aktive WooCommerce-Kassesitzung verfügt, den Link aufruft, wird das Payload im Browser des Opfers im Ursprungskontext der WordPress-Site ausgeführt.
If you want to get best quality of vulnerability data, you may have to visit VulDB.