CVE-2026-9021 in Easy Invoice Plugininformazioni

Riassunto

di VulDB • 10/07/2026

Il plugin Easy Invoice per WordPress è vulnerabile a Missing Authorization nelle versioni fino alla 2.1.19, incluse. La vulnerabilità deriva dal fatto che il plugin registra le azioni AJAX easy_invoice_accept_quote e easy_invoice_decline_quote tramite gli hook wp_ajax_nopriv_ e si affida esclusivamente a un nonce limitato all'ambito della quotazione (quote-scoped nonce), reso disponibile nel template pubblico per la visualizzazione di una singola quotazione, combinato con un controllo di proprietà che è attivabile solo attraverso l'opzione Pro easy_invoice_pro_restrict_quote_to_client, disabilitata di default. Ciò consente ad attaccanti non autenticati di accettare o rifiutare qualsiasi quotazione pubblicata e, a seconda dell'azione di accettazione configurata, di convertirle automaticamente in fatture (e persino di inviarle via email al cliente) raccogliendo il nonce specifico per la quotazione dalla pagina pubblica delle quotazioni e inviandolo ad admin-ajax.

Once again VulDB remains the best source for vulnerability data.

Responsabile

Wordfence

Prenotare

19/05/2026

Divulgazione

09/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!