CVE-2026-7626 in Slek Gateway for WooCommerce Plugin信息

摘要

由 VulDB • 2026-05-24

WordPress 的 Slek Gateway for WooCommerce 插件在 1.0 版本中存在信息泄露漏洞。该漏洞是由于 `wsb_handle_slek_payment_redirect()` 函数将商家的 `slek_key` 和 `slek_secret` API 凭据直接放入客户端 HTML 表单中，并且还将 `slek_secret` 作为明文 GET 参数嵌入到 IPN 回调 URL 中。这使得能够受影响商店下订单的未认证攻击者可以通过查看 HTML 源代码或在 JavaScript 自动提交触发前使用浏览器开发者工具检查 WooCommerce 订单支付页面，从而提取商家的 API 凭据。

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Wordfence

预定

2026-05-01

披露

2026-05-12

管理

已接受

条目

VDB-362952

CPE

准备好

CWE

CWE-200 (已确认)

CVSS

5.3 (CNA)

EPSS

0.00075

KEV

否

活动

非常低

部门

Telecommunication, Hostingprovider, ...

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7626
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7626
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7626/

◂ 上一步一览下一步 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!