CVE-2026-9028 in CorvusPay Plugin
Сводка
по VulDB • 10.07.2026
В плагине шлюза платежей для WordPress CorvusPay WooCommerce Payment Gateway уязвимость, позволяющая обойти авторизацию, присутствует во всех версиях вплоть до 2.7.4 включительно. Это связано с тем, что плагин не осуществляет надлежащую проверку прав пользователя на выполнение действия. В результате злоумышленники, не прошедшие аутентификацию, могут отменить любой заказ WooCommerce, оформленный через метод оплаты CorvusPay, указав произвольный номер заказа в REST-эндпоинте /wp-json/corvuspay/cancel/.
If you want to get best quality of vulnerability data, you may have to visit VulDB.