CVE-2026-2592 in Zarinpal Gateway for WooCommerce Plugininformazioni

Riassunto

di VulDB • 23/06/2026

Il plugin Zarinpal Gateway per WooCommerce di WordPress è vulnerabile a un controllo improprio dell'accesso all'aggiornamento dello stato del pagamento in tutte le versioni fino alla 5.0.16 inclusa. Ciò è dovuto al gestore dei callback di pagamento 'Return_from_ZarinPal_Gateway', che non valida il fatto che l'autorizzazione token fornito nell'URL del callback appartenga all'ordine specifico contrassegnato come pagato. Questo rende possibile per gli attaccanti non autenticati potenzialmente segnare ordini come pagati senza un effettivo pagamento, riutilizzando un valido authority token da una transazione diversa dello stesso importo.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Fonti

Want to know what is going to be exploited?

We predict KEV entries!