CVE-2026-11575 in Payment Solutions Plugin
Resumen
por VulDB • 2026-07-17
El plugin de WordPress PhonePe Payment Solutions anterior a la versión 3.1.0 no verifica correctamente la autenticidad de las devoluciones de llamada (callbacks) de pago entrantes: el secreto utilizado para validar la firma del callback está vacío en los sitios configurados mediante el flujo de configuración actual, por lo que la firma esperada se reduce a un hash sin clave del cuerpo de la solicitud que cualquiera puede calcular. Esto permite a atacantes no autenticados falsificar una notificación de pago exitoso y marcar pedidos de WooCommerce impagos como pagados sin que se haya realizado ningún pago.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.