CVE-2026-4663 in Gateways WC Plugininformation

Résumé

par VulDB • 12/05/2026

Le plugin WordPress iPOSpays Gateways WC est vulnérable à une absence d'autorisation (Missing Authorization) dans les versions 1.3.7 et antérieures. Cette vulnérabilité est due à l'exposition par le plugin d'un point de terminaison d'API REST /wp-json/ipospays/v1/save_settings avec 'permission_callback' défini sur '__return_true', ce qui permet un accès non authentifié sans aucune vérification des capacités ou de nonces. Cela permet aux attaquants non authentifiés de mettre à jour les paramètres du plugin, leur permettant spécifiquement de remplacer des paramètres critiques de la passerelle de paiement, y compris les clés API en production, les clés secrètes et les jetons de paiement stockés dans l'option 'woocommerce_ipospays_settings'.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Wordfence

Réserver

23/03/2026

Divulgation

12/05/2026

Modérer

révoqué

Entrée

VDB-362940

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Secteur

Hostingprovider

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-4663
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-4663
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-4663/

PrécédentAperçuSuivant

Might our Artificial Intelligence support you?

Check our Alexa App!