CVE-2026-9027 in CorvusPay WooCommerce Payment Gateway Plugin
要約
〜によって VulDB • 2026年07月09日
WordPress用WooCommerce決済ゲートウェイプラグイン「CorvusPay」は、暗号化署名の不適切な検証により、バージョン2.7.4以前すべてのバージョンで支払い回避(Payment Bypass)の脆弱性があります。`corvuspay_success_handler`関数はRESTエンドポイント `POST /wp-json/corvuspay/success/` を `'permission_callback' => '__return_true'` で登録していますが、この関数では `$this->client->validate->signature()` が呼び出されそのブール値の結果が `$res` に格納されます。しかし、この結果は条件分岐で評価されることなくデバッグログに書き込まれるだけであり、暗号化署名の有無にかかわらず実行が常に `$order->payment_complete()` に到達します。これにより、認証されていない攻撃者は任意または偽造された署名値を含むPOSTリクエストをsuccessエンドポイントに対して送信することで、保留中のWooCommerce注文をすべて「支払い済み」としてマークすることが可能になります。その結果、攻撃者は支払いを行うことなく商品やサービスを取得できます。WooCommerceの注文IDは連続した整数であるため、`order_number` POSTパラメータを通じて対象となる注文が容易に列挙可能であり、被害者の特定の注文に関する事前知識を必要としません。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.