CVE-2026-4663

Nome do Software Vulnerável e Versões Afetadas iPOSpays Gateways WC versões anteriores a 1.3.8

Descrição O plugin contém uma falha de autorização ausente devido ao endpoint da REST API "/wp-json/ipospays/v1/save settings" ter seu permission callback definido como return true. Esta configuração permite o acesso não autenticado sem verificações de capacidade ou verificação de nonce, permitindo que invasores atualizem as configurações do plugin. Especificamente, configurações críticas do gateway de pagamento, incluindo chaves de API ao vivo, chaves secretas e tokens de pagamento armazenados na opção woocommerce ipospays settings, podem ser sobrescritas.

Recomendações Atualize o plugin para uma versão posterior a 1.3.7. Como medida paliativa temporária, restrinja o acesso ao endpoint "/wp-json/ipospays/v1/save settings" para minimizar o risco de exploração.