CVE-2026-9027 in CorvusPay WooCommerce Payment Gateway Plugin
Riassunto
di VulDB • 10/07/2026
Il plugin CorvusPay Payment Gateway per WordPress è vulnerabile a un bypass del pagamento (Payment Bypass) dovuto alla mancata verifica corretta della firma crittografica in tutte le versioni fino alla 2.7.4 inclusa. La funzione `corvuspay_success_handler` registra l'endpoint REST `POST /wp-json/corvuspay/success/` con `'permission_callback' => '__return_true'`; sebbene venga chiamata `$this->client->validate->signature()` e il risultato booleano sia memorizzato in `$res`, tale risultato non viene mai valutato all'interno di una condizione: viene semplicemente scritto nel log di debug. Di conseguenza, l'esecuzione raggiunge incondizionatamente `$order->payment_complete()`, indipendentemente dalla validità della firma crittografica. Ciò consente ad attaccanti non autenticati di contrassegnare qualsiasi ordine WooCommerce in sospeso come completamente pagato inviando una richiesta POST all'endpoint di successo contenente un valore di firma arbitrario o contraffatto, permettendo loro di ottenere beni o servizi senza effettuare il pagamento. Poiché gli ID degli ordini WooCommerce sono interi sequenziali, gli ordini target possono essere enumerati facilmente tramite il parametro POST `order_number`, senza richiedere alcuna conoscenza preliminare dell'ordine della vittima.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.