CVE-2026-9027 in CorvusPay WooCommerce Payment Gateway Plugin
요약
\~에 의해 VulDB • 2026. 07. 10.
WordPress용 CorvusPay WooCommerce 결제 게이트웨이 플러그인은 2.7.4 버전(포함)까지 모든 버전에서 암호화 서명의 부적절한 검증으로 인해 결제를 우회(Payment Bypass)할 수 있는 취약점이 있습니다. `corvuspay_success_handler` 함수는 `'permission_callback' => '__return_true'`와 함께 REST 엔드포인트 `POST /wp-json/corvuspay/success/`를 등록합니다. 이 함수는 `$this->client->validate->signature()`를 호출하고 그 부울(boolean) 결과를 `$res`에 저장하지만, 해당 결과는 조건문에서 평가되지 않고 디버그 로그에만 기록됩니다. 이로 인해 암호화 서명이 유효한지 여부와 상관없이 실행이 무조건적으로 `$order->payment_complete()`로 이어집니다. 이를 통해 인증되지 않은 공격자는 임의 또는 위조된 서명 값을 포함하는 POST 요청을 성공 엔드포인트에 전송하여 보류 중인 WooCommerce 주문을 모두 결제 완료 상태로 표시할 수 있으며, 이는 대금 지불 없이 상품이나 서비스를 획득할 수 있음을 의미합니다. WooCommerce 주문 ID는 순차적인 정수이므로 `order_number` POST 매개변수를 통해 대상 주문을 쉽게 열거(enumerable)할 수 있어 피해자의 특정 주문에 대한 사전 지식이 필요하지 않습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.