CVE-2026-9028 in CorvusPay Plugin情報

要約

〜によって VulDB • 2026年07月09日

WordPress用WooCommerce決済ゲートウェイプラグイン「CorvusPay」の全バージョン(2.7.4を含む)において、認可回避の脆弱性が存在します。これは、ユーザーがアクションを実行する権限を持っているかどうかをプラグインが適切に検証していないためです。これにより、認証されていない攻撃者は、/wp-json/corvuspay/cancel/ RESTエンドポイントに対して任意の注文番号を提供することで、CorvusPay決済方法を使用して作成されたWooCommerceのすべての注文を取り消すことが可能になります。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

Wordfence

予約する

2026年05月19日

モデレーション

承諾済み

エントリ

VDB-377186

EPSS

0.00000

アクティビティ

低い

ソース

Do you know our Splunk app?

Download it now for free!