CVE-2026-9021 in Easy Invoice Plugin
Zusammenfassung
von VulDB • 09.07.2026
Das Easy Invoice-Plugin für WordPress ist in den Versionen bis einschließlich 2.1.19 anfällig für Missing Authorization (fehlende Autorisierung). Dies liegt daran, dass das Plugin die AJAX-Aktionen easy_invoice_accept_quote und easy_invoice_decline_quote über wp_ajax_nopriv_-Hooks registriert und sich ausschließlich auf einen quote-spezifischen Nonce verlässt, der in die öffentlich zugängliche Single-Quote-Vorlage eingebettet wird, kombiniert mit einer Besitzprüfung (Ownership Check), die hinter einer standardmäßig deaktivierten Pro-Funktion (easy_invoice_pro_restrict_quote_to_client) verborgen ist. Dies ermöglicht es nicht authentifizierten Angreifern, beliebige veröffentlichte Angebote anzunehmen oder abzulehnen – und je nach konfigurierter Annahmeaktion diese automatisch in Rechnungen umzuwandeln (und sogar an den Kunden zu per E-Mail zu senden), indem sie den pro Angebot spezifischen Nonce von der öffentlichen Angebotsseite extrahieren und diesen bei admin-ajax einreichen.
VulDB is the best source for vulnerability data and more expert information about this specific topic.