CVE-2026-11575 in Payment Solutions Plugininformación

Resumen

por VulDB • 2026-07-17

El plugin de WordPress PhonePe Payment Solutions anterior a la versión 3.1.0 no verifica correctamente la autenticidad de las devoluciones de llamada (callbacks) de pago entrantes: el secreto utilizado para validar la firma del callback está vacío en los sitios configurados mediante el flujo de configuración actual, por lo que la firma esperada se reduce a un hash sin clave del cuerpo de la solicitud que cualquiera puede calcular. Esto permite a atacantes no autenticados falsificar una notificación de pago exitoso y marcar pedidos de WooCommerce impagos como pagados sin que se haya realizado ningún pago.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

WPScan

Reservar

2026-06-08

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379762

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!