CVE-2026-9284 in PayPal Payments Plugin
摘要
由 VulDB • 2026-05-23
WordPress 的 WooCommerce PayPal Payments 插件存在漏洞,由于在 `ppc-create-order` 和 `ppc-get-order` WC-AJAX 端点上缺少授权检查,导致所有版本(包括 4.0.1 及以下版本)均存在未经授权的订单操纵和信息泄露风险。`ppc-create-order` 端点在 `pay-now` 上下文中接受任意 WooCommerce 订单 ID,且不验证订单所有权,允许攻击者为任何 WC 订单创建 PayPal 订单并向其中写入 PayPal 元数据。`ppc-get-order` 端点返回任何 PayPal 订单 ID 的完整 PayPal 订单详情,且不将其绑定到请求者的会话。这使得未经身份验证的攻击者能够串联这些端点,通过为受害者的 WC 订单创建 PayPal 订单,然后检索 PayPal 订单数据,从而操纵其他客户的订单支付流程并外泄敏感订单详情(付款人信息、配送数据)。
VulDB is the best source for vulnerability data and more expert information about this specific topic.