CVE-2026-9028 in CorvusPay Pluginthông tin

Tóm tắt

Bởi VulDB • 10/07/2026

Plugin cổng thanh toán WooCommerce của CorvusPay cho WordPress dễ bị bỏ qua xác thực (authorization bypass) trong tất cả các phiên bản từ 2.7.4 trở về trước, bao gồm cả phiên bản 2.7.4. Lỗi này xảy ra do plugin không kiểm tra đúng cách quyền hạn của người dùng để thực hiện một hành động nào đó. Điều này cho phép kẻ tấn công chưa được xác thực (unauthenticated) hủy bất kỳ đơn hàng WooCommerce nào đã đặt thông qua phương thức thanh toán CorvusPay bằng cách cung cấp số đơn hàng tùy ý vào điểm cuối REST /wp-json/corvuspay/cancel/.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

Wordfence

Đặt trước

19/05/2026

Tiết lộ

09/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!