CVE-2026-6939 in CorvusPay WooCommerce Payment Gateway Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WordPress-Plugin CorvusPay WooCommerce Payment Gateway ist in allen Versionen bis einschließlich 2.7.4 aufgrund unzureichender Eingabebereinigung und Ausgabe-Escaping durch eine Stored Cross-Site Scripting (XSS)-Schwachstelle im Parameter 'approval_code' verwundbar. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige Webskripte in Seiten einzufügen, die ausgeführt werden, sobald ein Benutzer auf die infizierte Seite zugreift. Der für den Zugriff nicht authentifizierte REST-Endpunkt POST /wp-json/corvuspay/success/ ist mit permission_callback = __return_true registriert; obwohl eine Schritt zur Signaturvalidierung vorhanden ist, wird das Ergebnis lediglich protokolliert, ohne die Ausführung zu stoppen. Dies bedeutet, dass ein Angreifer eine vollständig beliebige Signatur angeben und einen bösartigen approval_code unkontrolliert in der Datenbank speichern kann.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Wordfence

Reservieren

23.04.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377772

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!