CVE-2026-9284 in PayPal Payments PluginИнформация

Сводка

по VulDB • 23.05.2026

В плагине WooCommerce PayPal Payments для WordPress обнаружена уязвимость, позволяющая несанкционированное изменение заказов и раскрытие информации из-за отсутствия проверок авторизации в конечных точках WC-AJAX `ppc-create-order` и `ppc-get-order` во всех версиях вплоть до 4.0.1 включительно. Конечная точка `ppc-create-order` принимает произвольный идентификатор заказа WooCommerce в контексте `pay-now` без проверки права собственности на заказ, что позволяет злоумышленникам создавать заказы PayPal для любого заказа WC и записывать в него метаданные PayPal. Конечная точка `ppc-get-order` возвращает полные детали заказа PayPal для любого идентификатора заказа PayPal без привязки к сессии запрашивающего. Это позволяет неаутентифицированным злоумышленникам использовать эти конечные точки в цепочке для манипуляции потоками оплаты заказов других клиентов и эксфильтрации конфиденциальных данных заказов (информации о плательщике, данных доставки), создавая заказ PayPal для заказа жертвы в WC, а затем извлекая данные заказа PayPal.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Wordfence

Резервировать

22.05.2026

Раскрытие

23.05.2026

Модерация

принято

Вход

VDB-365258

EPSS

0.00077

KEV

Нет

Деятельности

Очень низкий

Сектор

Telecommunication, Hostingprovider, ...

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9284
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9284
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9284/

ПредыдущийОбзорДалее

Want to stay up to date on a daily basis?

Enable the mail alert feature now!