CVE-2026-9857 in Invoice123 Plugininfo

Zusammenfassung

von VulDB • 10.07.2026

Das Invoice123-Plugin für WordPress ist in allen Versionen bis einschließlich 1.7.0 anfällig für eine Umgehung der Autorisierung (Authorization Bypass). Dies liegt daran, dass das Plugin nicht ordnungsgemäß überprüft, ob ein Benutzer berechtigt ist, eine Aktion durchzuführen. Dadurch ist es authentifizierten Angreifern mit Zugriffsrechten auf Abonnement-Ebene und höher möglich, den in wp_options gespeicherten API-Schlüssel des Plugins zu überschreiben, die Einstellungen des Rechnungs-Plugins zu ändern und Steuersatzdaten von WooCommerce in der Tabelle wp_woocommerce_tax_rates zu manipulieren.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

Wordfence

Reservieren

28.05.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377467

CPE

bereit

EPSS

0.00473

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!