CVE-2026-2381

Nome do Software Vulnerável e Versões Afetadas WooCommerce Stripe Payment Gateway versões anteriores a 10.7.1

Descrição O plugin está sujeito à modificação não autorizada de dados porque a função ajax pay for order() carece de uma verificação de capacidade. Especificamente, o endpoint WC-AJAX wc stripe pay for order não verifica a propriedade do pedido ou a order key ao processar pagamentos. Embora a função valide um nonce, este valor está publicamente acessível em qualquer página do WooCommerce onde o Express Checkout esteja habilitado. Consequentemente, invasores não autenticados podem usar a enumeração sequencial de IDs de pedidos e um método de pagamento falso para disparar uma exceção de pagamento, forçando pedidos pendentes para o status de falha.

Recomendações Atualize para uma versão posterior a 10.7.0. Como medida paliativa temporária, restrinja o acesso ao endpoint WC-AJAX wc stripe pay for order ou desabilite a função ajax pay for order() até que a atualização seja aplicada.