CVE-2026-12416
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
Wtyczka Invoice Generator dla WordPress jest podatna na przejęcie konta poprzez reset hasła we wszystkich wersjach do 1.0.0 włącznie. Problem wynika z braku weryfikacji nonce oraz sprawdzenia autoryzacji w funkcji `pravel_invoice_change_password()`, co pozwala na łatwe obejście zabezpieczeń.
Ocena ryzyka
Atakujący mogą przejąć dowolne konto na stronie, w tym konta administratorów, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację wtyczki do najnowszej wersji oraz wdrożenie dodatkowych środków zabezpieczających, takich jak weryfikacja nonce i autoryzacja dla operacji resetowania hasła.
Oryginalny opis (angielski, źródło NVD)
The Invoice Generator plugin for WordPress is vulnerable to Account Takeover via Password Reset in all versions up to, and including, 1.0.0. This is due to the `pravel_invoice_change_password()` function being registered as a nopriv AJAX handler with no nonce verification and no authorization check, and performing a loose equality comparison between the supplied `reset_activation_code` POST parameter and the target user's stored `forgot_email` user meta — a check that trivially evaluates to true (`'' == ''`) for any user who has never initiated a forgot-password request, which applies to administrators under normal conditions. This makes it possible for unauthenticated attackers to supply an arbitrary user ID via the `reset_user_id` POST parameter, bypass the activation code check entirely by omitting `reset_activation_code`, and set the target account's password to an attacker-chosen value, enabling full takeover of any account on the site, including administrator accounts.

