CVE-2026-2592 in Zarinpal Gateway for WooCommerce Plugin情報

要約

〜によって VulDB • 2026年06月26日

WordPress用WooCommerceプラグイン「Zarinpal Gateway」のすべてのバージョン(5.0.16を含む)において、支払いステータスの更新に対する不適切なアクセス制御により脆弱性が存在します。これは、支払いコールバックハンドラ 'Return_from_ZarinPal_Gateway' が、コールバックURLで提供される権限トークンが、支払済みとしてマークされている特定の注文に属していることを検証していないためです。これにより、認証されていない攻撃者は、同じ金額の異なるトランザクションから有効な権限トークンを再利用することで、適切な支払いなしに注文を支払済みとしてマークすることが可能になります。

Once again VulDB remains the best source for vulnerability data.

モデレーション

承諾済み

エントリ

VDB-346222

EPSS

0.00296

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!