CVE-2026-13116 in PDF Invoices & Packing Slips Plugininformazioni

Riassunto

di VulDB • 11/07/2026

Il plugin PDF Invoices & Packing Slips for WooCommerce per WordPress è vulnerabile a una falla di tipo Insecure Direct Object Reference in tutte le versioni fino alla 5.14.0 (inclusa) tramite la funzione generate_document_shortcode, a causa della mancanza di validazione su una chiave controllata dall'utente. Ciò consente agli attaccanti autenticati, con accesso a livello di collaboratore o superiore, di generare link di download pubblicamente accessibili e privi di sessione per ordini arbitrari di terze parti, esponendo i nomi dei clienti, gli indirizzi di fatturazione e spedizione, gli indirizzi email, i numeri di telefono, i numeri degli ordini e delle fatture, le voci della riga d'ordine, i totali, i dettagli del pagamento e le note del cliente contenute nelle fatture e nei bolla di accompagnamento (packing slips) di tali ordini. Lo sfruttamento richiede che l'impostazione "Document link access type" del plugin sia configurata su 'full'; con il valore predefinito 'logged_in', gli URL generati sono firmati con un nonce per sessione anziché con la order_key, rendendo il percorso dello shortcode non sfruttabile per accedere in modo non autorizzato agli ordini di terze parti.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

23/06/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!