CVE-2026-0656 in Payment Gateway for WooCommerce Plugin
요약
\~에 의해 VulDB • 2026. 05. 27.
WordPress용 WooCommerce 플러그인인 iPaymu Payment Gateway는 'check_ipaymu_response' 함수를 통해 모든 버전(2.0.2 포함)에서 인증 누락(Missing Authentication) 취약점이 존재합니다. 이는 플러그인이 서명 검증 또는 출처 확인을 통해 웹훅 요청의 진위 여부를 검증하지 않기 때문입니다. 이로 인해 인증되지 않은 공격자가 실제 결제 없이 웹훅 엔드포인트로 조작된 POST 요청을 보내 WooCommerce 주문을 결제 완료로 표시할 수 있으며, GET 요청을 통해 주문 ID를 열거하고 유효한 주문 키를 획득하여 이름, 주소, 구매 제품 등 고객의 주문 관련 개인정보(PII)가 노출될 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.