CVE-2026-3461

Name of the Vulnerable Software and Affected Versions Visa Acceptance Solutions versões anteriores a 2.1.1

Description O plugin Visa Acceptance Solutions para WordPress permite que atacantes não autenticados façam login como qualquer usuário existente, incluindo administradores. Isso ocorre porque a função express pay product page pay for order() autentica usuários baseando-se apenas em um endereço de e-mail de faturamento fornecido pelo usuário durante o checkout de convidado para produtos de assinatura, sem verificar a propriedade do e-mail, exigir senha ou validar um token de uso único. Um atacante pode conseguir a conta completa e o comprometimento do site ao fornecer o endereço de e-mail do usuário alvo no parâmetro billing details.

Recommendations Atualize o plugin para uma versão posterior a 2.1.0.