Katalog CVE

CVE-2026-7862

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka Eupago Gateway dla WooCommerce przed wersją 4.7.2 nie ogranicza prawidłowo dostępu do swojego mechanizmu obsługi żądań zwrotów. To pozwala nieautoryzowanym atakującym na inicjowanie zwrotów dla dowolnego zamówienia WooCommerce przy użyciu danych uwierzytelniających bramki płatniczej sprzedawcy.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do przeprowadzania nieautoryzowanych zwrotów, co może prowadzić do strat finansowych dla organizacji oraz utraty zaufania klientów.

Rekomendacja

Zaleca się aktualizację wtyczki Eupago Gateway do wersji 4.7.2 lub nowszej, aby zlikwidować tę lukę w zabezpieczeniach oraz wdrożenie dodatkowych środków kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

The Eupago Gateway For Woocommerce WordPress plugin before 4.7.2 does not properly restrict access to its refund request handler, allowing unauthenticated attackers to initiate refunds against any WooCommerce order using the merchant's payment gateway credentials, and for applicable payment methods, to redirect refunded funds to an attacker-controlled bank account.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS