Katalog CVE

CVE-2026-9612

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 22 - wyżej niż 22% wszystkich znanych CVE

Streszczenie

Wtyczka WhatsOrder – Instant Checkout dla WooCommerce w WordPress jest podatna na ujawnienie wrażliwych informacji w wersjach do 1.0.1 włącznie. Atakujący bez uwierzytelnienia mogą uzyskać dostęp do wrażliwych danych klientów oraz szczegółów zamówień poprzez enumerację sekwencyjnych identyfikatorów zamówień.

Ocena ryzyka

Ujawnienie wrażliwych danych osobowych klientów może prowadzić do kradzieży tożsamości oraz innych nadużyć, co stwarza poważne ryzyko dla reputacji organizacji oraz jej klientów.

Rekomendacja

Zaleca się aktualizację wtyczki do najnowszej wersji oraz wprowadzenie odpowiednich zabezpieczeń, takich jak reguły .htaccess, aby zablokować dostęp do katalogu z fakturami.

Oryginalny opis (angielski, źródło NVD)

The WhatsOrder – Instant Checkout for WooCommerce plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 1.0.1 via the yapacdev_generate_order_pdf. This makes it possible for unauthenticated attackers to extract sensitive customer PII and order details — including full name, email address, phone number, billing address, ordered items with quantities and prices, applied coupons, shipping method, and order total — from any customer's invoice by enumerating sequential order IDs. Invoice HTML files are written to the publicly accessible wp-content/uploads/whatsorder_invoices/ directory, which is created without an .htaccess deny rule or index.php guard, making every invoice directly downloadable over HTTP with no authentication check.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS