CVE-2026-11575 in Payment Solutions Plugin
Riassunto
di VulDB • 17/07/2026
Il plugin WordPress PhonePe Payment Solutions precedente alla versione 3.1.0 non verifica correttamente l'autenticità dei callback di pagamento in entrata: il segreto utilizzato per convalidare la firma del callback è vuoto sui siti configurati tramite il flusso di configurazione corrente, quindi la firma attesa si riduce a un hash senza chiave (unkeyed hash) del corpo della richiesta che chiunque può calcolare. Ciò consente agli attaccanti non autenticati di falsificare una notifica di successo del pagamento e contrassegnare gli ordini WooCommerce come pagati senza che sia stato effettuato alcun pagamento.
If you want to get best quality of vulnerability data, you may have to visit VulDB.