CVE-2026-11575 in Payment Solutions Plugininformação

Sumário

de VulDB • 17/07/2026

O plugin WordPress PhonePe Payment Solutions anterior à versão 3.1.0 não verifica adequadamente a autenticidade dos callbacks de pagamento recebidos: o segredo usado para validar a assinatura do callback está vazio em sites configurados por meio do fluxo de configuração atual, fazendo com que a assinatura esperada se reduza a um hash sem chave (unkeyed hash) do corpo da solicitação, que qualquer pessoa pode calcular. Isso permite que atacantes não autenticados forjem uma notificação de sucesso no pagamento e marquem pedidos WooCommerce como pagos sem que nenhum pagamento tenha sido realizado.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsável

WPScan

Reservar

08/06/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379762

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!