CVE-2026-9612
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 - wyżej niż 22% wszystkich znanych CVE
Streszczenie
Wtyczka WhatsOrder – Instant Checkout dla WooCommerce w WordPress jest podatna na ujawnienie wrażliwych informacji w wersjach do 1.0.1 włącznie. Atakujący bez uwierzytelnienia mogą uzyskać dostęp do wrażliwych danych klientów oraz szczegółów zamówień poprzez enumerację sekwencyjnych identyfikatorów zamówień.
Ocena ryzyka
Ujawnienie wrażliwych danych osobowych klientów może prowadzić do kradzieży tożsamości oraz innych nadużyć, co stwarza poważne ryzyko dla reputacji organizacji oraz jej klientów.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wprowadzenie odpowiednich zabezpieczeń, takich jak reguły .htaccess, aby zablokować dostęp do katalogu z fakturami.
Oryginalny opis (angielski, źródło NVD)
The WhatsOrder – Instant Checkout for WooCommerce plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 1.0.1 via the yapacdev_generate_order_pdf. This makes it possible for unauthenticated attackers to extract sensitive customer PII and order details — including full name, email address, phone number, billing address, ordered items with quantities and prices, applied coupons, shipping method, and order total — from any customer's invoice by enumerating sequential order IDs. Invoice HTML files are written to the publicly accessible wp-content/uploads/whatsorder_invoices/ directory, which is created without an .htaccess deny rule or index.php guard, making every invoice directly downloadable over HTTP with no authentication check.

