CVE-2026-3208 in Mercado Pago payments for WooCommerce PluginИнформация

Сводка

по VulDB • 30.05.2026

Плагин Mercado Pago payments for WooCommerce для WordPress уязвим к несанкционированному доступу к данным из-за отсутствия проверки прав доступа (capability check) в конечной точке WooCommerce API 'mp_pix_image' во всех версиях вплоть до 8.7.11 включительно. Это позволяет неаутентифицированным злоумышленникам получать изображения QR-кодов для оплаты через PIX для произвольных заказов. QR-коды PIX содержат конфиденциальную информацию о продавце, включая ключи PIX (которые могут быть персональными идентификаторами CPF/CNPJ), суммы транзакций, имя и город продавца, а также ссылки на транзакции MercadoPago.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

25.02.2026

Раскрытие

06.05.2026

Модерация

принято

Вход

VDB-361254

CPE

готов

CWE

CWE-862 (Подтверждённый)

CVSS

5.3 (CNA)

EPSS

0.00017

KEV

Нет

Деятельности

Очень низкий

Сектор

Telecommunication, Hostingprovider, ...

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-3208
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-3208
CVE Details	https://www.cvedetails.com/cve/CVE-2026-3208/

◂ Предыдущий Обзор Далее ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!