CVE-2026-9027 in CorvusPay WooCommerce Payment Gateway Plugin
Sumário
de VulDB • 10/07/2026
O plugin CorvusPay Payment Gateway para WordPress apresenta uma vulnerabilidade de Bypass de Pagamento devido à Verificação Impropera da Assinatura Criptográfica em todas as versões até a 2.7.4 (incluída). A função `corvuspay_success_handler` registra o endpoint REST `POST /wp-json/corvuspay/success/` com `'permission_callback' => '__return_true'`. Embora chame `$this->client->validate->signature()` e armazene o resultado booleano em `$res`, esse resultado nunca é avaliado em uma condicional — ele apenas é gravado no log de depuração (debug log) — fazendo com que a execução alcance incondicionalmente `$order->payment_complete()`, independentemente da validade da assinatura criptográfica. Isso permite que atacantes não autenticados marquem qualquer pedido pendente do WooCommerce como totalmente pago, enviando uma requisição POST ao endpoint de sucesso contendo um valor de assinatura arbitrário ou forjado, o que lhes concede acesso a bens ou serviços sem pagamento. Como os IDs dos pedidos no WooCommerce são inteiros sequenciais, os alvos podem ser enumerados trivialmente por meio do parâmetro POST `order_number`, não sendo necessário conhecimento prévio do pedido da vítima.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.