CVE-2026-3640

Nome do Software Vulnerável e Versões Afetadas STRABL – A checkout solution plugin for WordPress versões anteriores a 4.6

Description O plugin apresenta uma falha de autenticação ausente no endpoint de webhook da REST API "/wp-json/strabl/webhook/order". O endpoint utiliza um permission callback definido como return true, permitindo que todas as requisições ignorem as verificações de autenticação e autorização. Como não há segredo compartilhado, validação de assinatura, verificação HMAC ou autenticação baseada em token, usuários não autenticados podem realizar diversas ações não autorizadas. Isso inclui a criação de pedidos fraudulentos no WooCommerce e a marcação dos mesmos como concluídos ao definir a variável paymentStatus como paid, a manipulação de status de pedidos através da variável externalOrderId, a criação de novas contas de usuário no WordPress com a função de cliente, a emissão de reembolsos, o cancelamento de pedidos e a aplicação de taxas de estorno.

Recommendations Atualize o plugin para uma versão posterior a 4.5. Como medida paliativa temporária, restrinja o acesso ao endpoint "/wp-json/strabl/webhook/order" para minimizar o risco de exploração.