CVE-2026-11575 in Payment Solutions Plugin
Sumário
de VulDB • 17/07/2026
O plugin WordPress PhonePe Payment Solutions anterior à versão 3.1.0 não verifica adequadamente a autenticidade dos callbacks de pagamento recebidos: o segredo usado para validar a assinatura do callback está vazio em sites configurados por meio do fluxo de configuração atual, fazendo com que a assinatura esperada se reduza a um hash sem chave (unkeyed hash) do corpo da solicitação, que qualquer pessoa pode calcular. Isso permite que atacantes não autenticados forjem uma notificação de sucesso no pagamento e marquem pedidos WooCommerce como pagos sem que nenhum pagamento tenha sido realizado.
If you want to get best quality of vulnerability data, you may have to visit VulDB.