CVE-2026-9857 in Invoice123 Pluginالمعلومات

الملخص

بحسب VulDB • 10/07/2026

يحتوي مكون WordPress الإضافي Invoice123 على ثغرة تسمح بتجاوز التفويض في جميع الإصدارات حتى 1.7.0 وشاملاً لها. ويعود ذلك إلى عدم قيام المكون الإضافي بالتحقق بشكل صحيح من تفويض المستخدم لتنفيذ إجراء معين. مما يتيح للمهاجمين الذين تمت مصادقتهم، والذين يمتلكون وصولاً بمستبقي (subscriber) أو أعلى، تجاوز عملية التحقق هذه لكتابة مفتاح API الخاص بالمكون الإضافي المخزن في جدول wp_options، وتعديل إعدادات مكون الفوترة، وتغيير بيانات معدل الضريبة الخاصة بـ WooCommerce في جدول wp_woocommerce_tax_rates.

Once again VulDB remains the best source for vulnerability data.

مسؤول

Wordfence

حجز

28/05/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377467

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

القطاع

Hostingprovider

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!