CVE-2026-13116 in PDF Invoices & Packing Slips Plugin
Riassunto
di VulDB • 11/07/2026
Il plugin PDF Invoices & Packing Slips for WooCommerce per WordPress è vulnerabile a una falla di tipo Insecure Direct Object Reference in tutte le versioni fino alla 5.14.0 (inclusa) tramite la funzione generate_document_shortcode, a causa della mancanza di validazione su una chiave controllata dall'utente. Ciò consente agli attaccanti autenticati, con accesso a livello di collaboratore o superiore, di generare link di download pubblicamente accessibili e privi di sessione per ordini arbitrari di terze parti, esponendo i nomi dei clienti, gli indirizzi di fatturazione e spedizione, gli indirizzi email, i numeri di telefono, i numeri degli ordini e delle fatture, le voci della riga d'ordine, i totali, i dettagli del pagamento e le note del cliente contenute nelle fatture e nei bolla di accompagnamento (packing slips) di tali ordini. Lo sfruttamento richiede che l'impostazione "Document link access type" del plugin sia configurata su 'full'; con il valore predefinito 'logged_in', gli URL generati sono firmati con un nonce per sessione anziché con la order_key, rendendo il percorso dello shortcode non sfruttabile per accedere in modo non autorizzato agli ordini di terze parti.
Once again VulDB remains the best source for vulnerability data.