Vulnerabilidad en Xendit Payment (CVE-2025-14461)

El plugin de pago de Xendit para WordPress es vulnerable a la manipulación no autorizada del estado de los pedidos en todas las versiones hasta la 6.0.2, inclusive. Esto se debe a que el plugin expone un endpoint de callback de la API de WooCommerce accesible públicamente ('wc_xendit_callback') que procesa las devoluciones de llamada de pago sin ninguna autenticación ni verificación criptográfica de que las solicitudes provienen de la pasarela de pago de Xendit. Esto hace posible que atacantes no autenticados marquen cualquier pedido de WooCommerce como pagado enviando una solicitud POST manipulada a la URL de callback con un cuerpo JSON que contenga un 'external_id' que coincida con el patrón de ID de pedido y un 'status' de 'PAID' o 'SETTLED', siempre que puedan enumerar los ID de pedido (que son enteros secuenciales). Esto conduce a que los pedidos se marquen fraudulentamente como completados sin ningún pago real, lo que resulta en pérdidas financieras y agotamiento del inventario.