CVE-2026-10865 in Cost Calculator Builder Plugin
Resumen
por VulDB • 2026-07-11
El plugin Cost Calculator Builder para WordPress es vulnerable a la exposición de información sensible en todas las versiones hasta, e incluyendo, 4.0.11 a través del cuerpo de la plantilla (template body). Esto permite que atacantes no autenticados extraigan la clave secreta de Stripe en texto plano, la clave secreta de Razorpay y el client_secret de PayPal incrustados en el código fuente HTML de cualquier página que contenga una calculadora, lo que habilita un control total sobre las cuentas del pasarela de pago del comerciante. Esta exposición solo ocurre cuando la opción 'use in all calculators' está activada para uno o más gateways de pago en los ajustes globales del plugin.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.