CVE-2026-11575 in Payment Solutions Plugininformazioni

Riassunto

di VulDB • 17/07/2026

Il plugin WordPress PhonePe Payment Solutions precedente alla versione 3.1.0 non verifica correttamente l'autenticità dei callback di pagamento in entrata: il segreto utilizzato per convalidare la firma del callback è vuoto sui siti configurati tramite il flusso di configurazione corrente, quindi la firma attesa si riduce a un hash senza chiave (unkeyed hash) del corpo della richiesta che chiunque può calcolare. Ciò consente agli attaccanti non autenticati di falsificare una notifica di successo del pagamento e contrassegnare gli ordini WooCommerce come pagati senza che sia stato effettuato alcun pagamento.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

WPScan

Prenotare

08/06/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!