PT-2026-57419 · WordPress · Corvuspay Woocommerce Payment Gateway

Valatty

·

Publicado

2026-07-11

·

Atualizado

2026-07-11

·

CVE-2026-6939

CVSS v3.1

7.2

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas CorvusPay WooCommerce Payment Gateway versões anteriores a 2.7.5
Description A sanitização insuficiente de entrada e a falta de escape de saída permitem que atacantes não autenticados realizem Stored Cross-Site Scripting. Um atacante pode injetar scripts web arbitrários em páginas que serão executados sempre que um usuário as acessar. Isso ocorre porque o endpoint REST não autenticado "POST /wp-json/corvuspay/success/" possui seu permission callback definido como return true. Embora exista uma etapa de validação de assinatura, ela apenas registra o resultado sem interromper a execução, permitindo que um approval code malicioso seja armazenado no banco de dados independentemente da assinatura fornecida.
Recommendations Atualize o CorvusPay WooCommerce Payment Gateway para a versão 2.7.5 ou posterior. Evite usar o parâmetro approval code no endpoint "POST /wp-json/corvuspay/success/" até que a atualização seja aplicada.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-6939

Produtos afetados

Corvuspay Woocommerce Payment Gateway