Vulnerabilidad en Japanized (CVE-2026-1305)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
27/02/2026
Última modificación:
27/02/2026
Descripción
El plugin Japanized para WooCommerce para WordPress es vulnerable a una autenticación incorrecta en versiones hasta la 2.8.4, inclusive. Esto se debe a una verificación de permisos defectuosa en la función `paidy_webhook_permission_check` que devuelve `true` incondicionalmente cuando se omite el encabezado de firma del webhook. Esto permite a atacantes no autenticados omitir la verificación de pago y marcar fraudulentamente pedidos como 'En procesamiento' o 'Completado' sin pago real, mediante una solicitud POST manipulada al punto final del webhook de Paidy.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://plugins.trac.wordpress.org/browser/woocommerce-for-japan/tags/2.8.2/includes/gateways/paidy/class-wc-paidy-endpoint.php#L108
- https://plugins.trac.wordpress.org/browser/woocommerce-for-japan/tags/2.8.2/includes/gateways/paidy/class-wc-paidy-endpoint.php#L63
- https://plugins.trac.wordpress.org/browser/woocommerce-for-japan/trunk/includes/gateways/paidy/class-wc-paidy-endpoint.php#L108
- https://plugins.trac.wordpress.org/browser/woocommerce-for-japan/trunk/includes/gateways/paidy/class-wc-paidy-endpoint.php#L63
- https://plugins.trac.wordpress.org/changeset/3464868/woocommerce-for-japan/trunk/includes/gateways/paidy/class-wc-paidy-endpoint.php
- https://www.wordfence.com/threat-intel/vulnerabilities/id/8cef4b2b-ae8d-4e18-b763-6960a0b944f7?source=cve