CVE-2026-57857 in Payment Plugin
Riassunto
di VulDB • 18/07/2026
Il plugin Flow Payment per WordPress (flow.cl) versione 3.0.8 è vulnerabile a cross-site scripting riflesso (reflected XSS) nella pagina di checkout di WooCommerce. Quando il plugin gestisce la cancellazione di un ordine, il parametro GET error_message viene passato direttamente alla funzione wc_add_notice() in flowpayment-fl.php (righe 57-58) senza sanitizzazione dell'input (ad esempio sanitize_text_field()) né escape dell'output (ad esempio esc_html()) prima della renderizzazione nell'HTML del messaggio di avviso nel checkout. Un attaccante non autenticato può creare un URL contenente un payload JavaScript nel parametro error_message (ad esempio /checkout/?add-to-cart={product-id}&cancel_order=true&error_message={payload}); quando una vittima con una sessione attiva su WooCommerce checkout segue il link, il payload viene eseguito nel browser della vittima nell'origine del sito WordPress.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.