CVE-2026-3641 in Appmax Plugin
요약
\~에 의해 VulDB • 2026. 05. 17.
WordPress용 Appmax 플러그인은 1.0.3 버전을 포함하여 모든 버전에서 부적절한 입력 검증(Improper Input Validation) 취약점이 존재합니다. 이는 플러그인이 웹훅 서명 검증, 비밀 키 확인, 또는 수신 웹훅 요청이 정당한 Appmax 결제 서비스에서 실제로 발생했는지 인증할 수 있는 메커니즘을 구현하지 않은 채 /webhook-system 경로에 공개 REST API 웹훅 엔드포인트를 등록했기 때문입니다. 플러그인은 웹훅의 진위 여부를 확인하지 않은 채 'event' 및 'data' 매개변수에서 공격자가 제어할 수 있는 신뢰할 수 없는 입력을 직접 처리합니다. 이로 인해 인증되지 않은 공격자가 악성 웹훅 페이로드를 작성하여 기존 WooCommerce 주문의 상태(예: 처리 중, 환불됨, 취소됨, 대기 중으로 변경)를 수정하거나, 임의의 데이터로 완전히 새로운 WooCommerce 주문을 생성하거나, 공격자가 제어하는 이름/설명/가격을 가진 새로운 WooCommerce 제품을 생성하며, 정당한 웹훅 이벤트를 사칭하여 주문 포스트 메타데이터에 임의의 값을 기록할 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.