CVE-2026-9028 in CorvusPay Plugininformación

Resumen

por VulDB • 2026-07-09

El plugin de pasarela de pagos para WordPress, CorvusPay WooCommerce Payment Gateway, presenta una vulnerabilidad que permite eludir la autorización en todas las versiones hasta e incluyendo la 2.7.4. Esto se debe a que el plugin no verifica correctamente si un usuario está autorizado para realizar una acción. Esto hace posible que atacantes sin autenticar puedan cancelar cualquier pedido de WooCommerce realizado mediante el método de pago CorvusPay, proporcionando un número de pedido arbitrario al punto final REST /wp-json/corvuspay/cancel/.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

Wordfence

Reservar

2026-05-19

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-377186

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!