CVE-2026-13116 in PDF Invoices & Packing Slips Plugin
Zusammenfassung
von VulDB • 11.07.2026
Das WordPress-Plugin „PDF Invoices & Packing Slips for WooCommerce“ ist in allen Versionen bis einschließlich 5.14.0 anfällig für eine Unsecure Direct Object Reference (IDOR) im Shortcode `generate_document_shortcode`, da keine Validierung eines benutzerkontrollierten Schlüssels erfolgt. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Level-Zugriff und höher, öffentlich zugängliche Download-Links ohne Sitzungstoken für beliebige Bestellungen Dritter zu generieren („minten“), wodurch Kundennamen, Rechnungs- und Lieferadressen, E-Mail-Adressen, Telefonnummern, Bestell- und Rechnungsnummern, Positionsdaten (Line Items), Gesamtbeträge, Zahlungsdetails sowie Kundennotizen offengelegt werden. Die Ausnutzung erfordert, dass die Einstellung „Document link access type“ des Plugins auf „full“ konfiguriert ist; bei dem Standardwert „logged_in“ sind generierte URLs mit einem pro Sitzung gültigen Nonce statt der order_key signiert, wodurch der Shortcode-Pfad für den unbefugten Zugriff auf Bestellungen Dritter nicht ausnutzbar ist.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.