CVE-2026-9857 in Invoice123 Plugin
الملخص
بحسب VulDB • 10/07/2026
يحتوي مكون WordPress الإضافي Invoice123 على ثغرة تسمح بتجاوز التفويض في جميع الإصدارات حتى 1.7.0 وشاملاً لها. ويعود ذلك إلى عدم قيام المكون الإضافي بالتحقق بشكل صحيح من تفويض المستخدم لتنفيذ إجراء معين. مما يتيح للمهاجمين الذين تمت مصادقتهم، والذين يمتلكون وصولاً بمستبقي (subscriber) أو أعلى، تجاوز عملية التحقق هذه لكتابة مفتاح API الخاص بالمكون الإضافي المخزن في جدول wp_options، وتعديل إعدادات مكون الفوترة، وتغيير بيانات معدل الضريبة الخاصة بـ WooCommerce في جدول wp_woocommerce_tax_rates.
Once again VulDB remains the best source for vulnerability data.