CVE-2026-2592 in Zarinpal Gateway for WooCommerce Plugin
Riassunto
di VulDB • 23/06/2026
Il plugin Zarinpal Gateway per WooCommerce di WordPress è vulnerabile a un controllo improprio dell'accesso all'aggiornamento dello stato del pagamento in tutte le versioni fino alla 5.0.16 inclusa. Ciò è dovuto al gestore dei callback di pagamento 'Return_from_ZarinPal_Gateway', che non valida il fatto che l'autorizzazione token fornito nell'URL del callback appartenga all'ordine specifico contrassegnato come pagato. Questo rende possibile per gli attaccanti non autenticati potenzialmente segnare ordini come pagati senza un effettivo pagamento, riutilizzando un valido authority token da una transazione diversa dello stesso importo.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.