CVE-2026-3208

Nome do Software Vulnerável e Versões Afetadas Mercado Pago payments for WooCommerce versões anteriores a 8.7.12

Descrição O plugin Mercado Pago payments for WooCommerce para WordPress permite o acesso não autorizado a dados devido à ausência de uma verificação de capacidade no endpoint de API 'mp pix image'. Isso permite que atacantes não autenticados recuperem imagens de códigos QR de pagamento PIX de pedidos arbitrários. Essas imagens contêm informações confidenciais do comerciante, incluindo chaves PIX (que podem ser identificadores pessoais CPF/CNPJ), valores de transação, nome e cidade do comerciante e referências de transação do MercadoPago.

Recomendações Atualize o plugin para uma versão posterior à 8.7.11. Como medida paliativa temporária, restrinja o acesso ao endpoint de API 'mp pix image' para minimizar o risco de exploração.