CVE-2026-0679 Эксплойт и детали уязвимости

Плагин Fortis for WooCommerce для WordPress уязвим для обхода авторизации из-за инвертированной проверки nonce в функции check_fortis_notify_response во всех версиях до 1.2.0 включительно. Это позволяет неаутентифицированным злоумышленникам обновлять произвольные статусы заказов WooCommerce на «Оплачено/обрабатывается/выполнено», что позволяет им помечать заказы как оплаченные без оплаты.

Показать оригинальное описание (английский)

The Fortis for WooCommerce plugin for WordPress is vulnerable to authorization bypass due to an inverted nonce check in the 'check_fortis_notify_response' function in all versions up to, and including, 1.2.0. This makes it possible for unauthenticated attackers to update arbitrary WooCommerce order statuses to paid/processing/completed, effectively allowing them to mark orders as paid without payment.

Матрица атаки

Вектор атаки

По сети

Атака по сети

Сложность атаки

Низкая

Легко эксплуатировать

Требуемые привилегии

Не требуются

Права не нужны

Взаимодействие с пользователем

Не требуется

Не нужно действие пользователя

Влияние на конфиденциальность

Нет

Нет утечки данных

Влияние на целостность

Низкое

Частичная модификация

Влияние на доступность

Нет

Нет отказа в обслуживании

СТРОКА CVSS ВЕКТОРА

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Тип уязвимости (CWE)

CWE-862: Missing Authorization (Отсутствие авторизации)

Источники и патчи

Share Post Share Share Share

Меню

CVE-2026-0679

Матрица атаки

СТРОКА CVSS ВЕКТОРА

Тип уязвимости (CWE)

Источники и патчи

Похожие уязвимости

CVE-2026-1370

CVE-2026-0816

CVE-2026-0743

CVE-2026-0742

CVE-2026-0681

CVE Details

Последние новости