CVE-2026-9284

Nome do Software Vulnerável e Versões Afetadas WooCommerce PayPal Payments versões anteriores a 4.0.2

Descrição A ausência de verificações de autorização nos endpoints WC-AJAX 'ppc-create-order' e 'ppc-get-order' permite a manipulação não autorizada de pedidos e a divulgação de informações. O endpoint 'ppc-create-order' aceita um ID de pedido do WooCommerce arbitrário através do contexto pay-now sem validar a propriedade do pedido, permitindo que atacantes criem pedidos no PayPal para qualquer pedido do WooCommerce e escrevam metadados do PayPal nele. Além disso, o endpoint 'ppc-get-order' retorna detalhes completos do pedido do PayPal para qualquer ID de pedido do PayPal sem vinculação à sessão do solicitante. Atacantes não autenticados podem encadear esses endpoints para manipular fluxos de pagamento de outros clientes e exfiltrar dados sensíveis, incluindo informações do pagador e dados de envio.

Recomendações Atualize para uma versão posterior à 4.0.1. Como medida paliativa temporária, restrinja o acesso aos endpoints 'ppc-create-order' e 'ppc-get-order' para minimizar o risco de exploração.