Vulnerabilidad en Rede Itaú para WooCommerce (CVE-2026-0939)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
16/01/2026
Última modificación:
16/01/2026
Descripción
El plugin Rede Itaú para WooCommerce para WordPress es vulnerable a la manipulación del estado de los pedidos debido a una verificación insuficiente de la autenticidad de los datos en todas las versiones hasta e incluyendo la 5.1.2. Esto se debe a que el plugin no verifica la autenticidad de las devoluciones de llamada de pago. Esto hace posible que atacantes no autenticados manipulen los estados de los pedidos de WooCommerce, ya sea marcando pedidos no pagados como pagados, o fallidos.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/woo-rede/tags/5.1.2/Includes/LknIntegrationRedeForWoocommerceWcEndpoint.php#L45
- https://plugins.trac.wordpress.org/browser/woo-rede/tags/5.1.2/Includes/LknIntegrationRedeForWoocommerceWcEndpoint.php#L460
- https://plugins.trac.wordpress.org/browser/woo-rede/tags/5.1.2/Includes/LknIntegrationRedeForWoocommerceWcEndpoint.php#L710
- https://www.wordfence.com/threat-intel/vulnerabilities/id/722c666b-913f-4289-82e6-30aa0a3abc2b?source=cve