CVE-2026-13116 in PDF Invoices & Packing Slips Plugininfo

Zusammenfassung

von VulDB • 11.07.2026

Das WordPress-Plugin „PDF Invoices & Packing Slips for WooCommerce“ ist in allen Versionen bis einschließlich 5.14.0 anfällig für eine Unsecure Direct Object Reference (IDOR) im Shortcode `generate_document_shortcode`, da keine Validierung eines benutzerkontrollierten Schlüssels erfolgt. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Level-Zugriff und höher, öffentlich zugängliche Download-Links ohne Sitzungstoken für beliebige Bestellungen Dritter zu generieren („minten“), wodurch Kundennamen, Rechnungs- und Lieferadressen, E-Mail-Adressen, Telefonnummern, Bestell- und Rechnungsnummern, Positionsdaten (Line Items), Gesamtbeträge, Zahlungsdetails sowie Kundennotizen offengelegt werden. Die Ausnutzung erfordert, dass die Einstellung „Document link access type“ des Plugins auf „full“ konfiguriert ist; bei dem Standardwert „logged_in“ sind generierte URLs mit einem pro Sitzung gültigen Nonce statt der order_key signiert, wodurch der Shortcode-Pfad für den unbefugten Zugriff auf Bestellungen Dritter nicht ausnutzbar ist.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Wordfence

Reservieren

23.06.2026

Veröffentlichung

11.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377738

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!