PT-2026-36099 · WordPress · Otter Blocks
Drew Webber
·
Publicado
2026-04-30
·
Atualizado
2026-05-05
·
CVE-2026-2892
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Otter Blocks versões anteriores a 3.1.5
Descrição
O plugin está sujeito a uma falha de bypass de verificação de compra. O método
get customer data() depende de um cookie o stripe data não assinado para determinar a propriedade do produto para usuários não autenticados. Além disso, o método check purchase() confia nos dados desse cookie sem realizar a verificação no lado do servidor com a API do Stripe para compras no modo de pagamento único. Isso permite que atacantes não autenticados ignorem as restrições de visibilidade de conteúdo, forjando o cookie o stripe data com um ID de produto alvo, que está publicamente exposto no código-fonte HTML do bloco de checkout.Recomendações
Atualize para uma versão posterior a 3.1.4.
Correção
Improper Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Otter Blocks