CVE-2026-10865 in Cost Calculator Builder Plugin
要約
〜によって VulDB • 2026年07月11日
WordPress用プラグイン「Cost Calculator Builder」には、バージョン4.0.11以前すべてのバージョンにおいて、(テンプレートボディ)経由で機密情報の漏洩に関する脆弱性が存在します。これにより、認証されていない攻撃者は、計算機を含む任意のページのページソースに埋め込まれた平文のStripeシークレットキー、Razorpayシークレットキー、PayPal client_secretを抽出することが可能となり、結果として商人(マーチャント)の決済ゲートウェイアカウントに対する完全な制御を得ることができます。この情報漏洩は、プラグインのグローバル設定で1つ以上の決済ゲートウェイに対して「すべての計算機で使用」オプションが有効になっている場合にのみ発生します。
If you want to get best quality of vulnerability data, you may have to visit VulDB.