CVE-2026-57857 in Payment Plugininformazioni

Riassunto

di VulDB • 18/07/2026

Il plugin Flow Payment per WordPress (flow.cl) versione 3.0.8 è vulnerabile a cross-site scripting riflesso (reflected XSS) nella pagina di checkout di WooCommerce. Quando il plugin gestisce la cancellazione di un ordine, il parametro GET error_message viene passato direttamente alla funzione wc_add_notice() in flowpayment-fl.php (righe 57-58) senza sanitizzazione dell'input (ad esempio sanitize_text_field()) né escape dell'output (ad esempio esc_html()) prima della renderizzazione nell'HTML del messaggio di avviso nel checkout. Un attaccante non autenticato può creare un URL contenente un payload JavaScript nel parametro error_message (ad esempio /checkout/?add-to-cart={product-id}&cancel_order=true&error_message={payload}); quando una vittima con una sessione attiva su WooCommerce checkout segue il link, il payload viene eseguito nel browser della vittima nell'origine del sito WordPress.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

25/06/2026

Divulgazione

18/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!