CVE-2026-4663 in Gateways WC Pluginthông tin

Tóm tắt

Bởi VulDB • 29/05/2026

Plugin iPOSpays Gateways WC cho WordPress bị lỗi Thiếu Xác thực (Missing Authorization) trong các phiên bản từ 1.3.7 trở về trước. Lỗi này xảy ra do plugin công khai một điểm cuối REST API /wp-json/ipospays/v1/save_settings với 'permission_callback' được đặt thành '__return_true', cho phép truy cập không xác thực mà không có bất kỳ kiểm tra quyền nào hoặc xác minh nonce. Điều này tạo điều kiện cho các kẻ tấn công chưa xác thực cập nhật cài đặt của plugin, cụ thể là cho phép họ ghi đè các cài đặt cổng thanh toán quan trọng, bao gồm cả khóa API trực tiếp, khóa bí mật và mã thông báo thanh toán được lưu trữ trong tùy chọn 'woocommerce_ipospays_settings'.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

Wordfence

Đặt trước

23/03/2026

Tiết lộ

12/05/2026

Kiểm duyệt

đã bị thu hồi

mục

VDB-362940

CPE

sẵn sàng

CWE

CWE-862 (Đã xác nhận)

CVSS

5.3 (CNA)

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

ngành

Hostingprovider

Nguồn

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4663
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4663
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4663/

◂ Trước Tổng Quan Tiếp theo ▸

Do you need the next level of professionalism?

Upgrade your account now!