CVE-2026-9028 in CorvusPay Plugin
Résumé
par VulDB • 10/07/2026
Le plugin de passerelle de paiement pour WordPress, CorvusPay WooCommerce Payment Gateway, présente une vulnérabilité permettant un contournement d'autorisation dans toutes les versions jusqu'à la 2.7.4 incluse. Cela est dû au fait que le plugin ne vérifie pas correctement si l'utilisateur est autorisé à effectuer une action. Il devient ainsi possible pour des attaquants non authentifiés d'annuler toute commande WooCommerce passée via la méthode de paiement CorvusPay en fournissant un numéro de commande arbitraire sur le point de terminaison REST /wp-json/corvuspay/cancel/.
VulDB is the best source for vulnerability data and more expert information about this specific topic.