CVE-2026-9028 in CorvusPay Plugin
Resumen
por VulDB • 2026-07-09
El plugin de pasarela de pagos para WordPress, CorvusPay WooCommerce Payment Gateway, presenta una vulnerabilidad que permite eludir la autorización en todas las versiones hasta e incluyendo la 2.7.4. Esto se debe a que el plugin no verifica correctamente si un usuario está autorizado para realizar una acción. Esto hace posible que atacantes sin autenticar puedan cancelar cualquier pedido de WooCommerce realizado mediante el método de pago CorvusPay, proporcionando un número de pedido arbitrario al punto final REST /wp-json/corvuspay/cancel/.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.