Saltar al contenido

Fuente base de datos: Wordfence Intelligence

PDF Invoices & Packing Slips for WooCommerce <= 5.14.0 - Insecure Direct Object Reference to Authenticated (Contributor+) Sensitive Information Disclosure via 'order_id' Shortcode Attribute en Woocommerce PDF Invoices Packing Slips - version 5.15.0

PLUGIN MEDIUM CVE-2026-13116

Fuente base: Wordfence Intelligence. Contenido enriquecido por IA con revisión editorial interna. Contenido informativo. No se distribuye software.

Resumen ejecutivo

Se ha identificado una vulnerabilidad en el plugin 'PDF Invoices & Packing Slips for WooCommerce' que permite la divulgación no autorizada de información sensible. Esta falla, clasificada como de severidad media, puede comprometer datos críticos a través de un acceso indebido a información de pedidos.

Contexto técnico

La vulnerabilidad se origina en una referencia directa no segura a objetos, específicamente mediante el atributo 'order_id' en shortcodes. Esto permite a usuarios autenticados con rol de colaborador o superior acceder a información sensible de pedidos que no deberían poder ver.

Impacto potencial

El impacto de esta vulnerabilidad puede ser significativo, ya que permite la exposición de datos sensibles de clientes y pedidos, lo que podría llevar a problemas de confianza y cumplimiento normativo. Las empresas que utilizan este plugin podrían enfrentar riesgos de reputación y legales.

Vector de explotación

La explotación típicamente se realiza a través de la manipulación del shortcode 'order_id', permitiendo a usuarios con permisos inadecuados acceder a información sensible de otros pedidos.

Mitigación recomendada

Actualizar el plugin 'PDF Invoices & Packing Slips for WooCommerce' a la versión 5.15.0 o superior. Revisar los roles y permisos asignados a los usuarios para limitar el acceso a información sensible. Realizar auditorías periódicas de seguridad en la instalación de WordPress y sus componentes.

Señales de detección

Señales de riesgo incluyen registros de accesos inusuales a información de pedidos y cambios en los permisos de usuario que no sean documentados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 5.15.0. No se han confirmado casos en versiones posteriores a esta.

Vulnerabilidades relacionadas

MEDIUM PLUGIN

woocommerce-pdf-invoices-packing-slips

PDF Invoices & Packing Slips for WooCommerce < 5.9.0 - Authenticated (Shop manager+) PHP Object Injection

MEDIUM PLUGIN

woocommerce-pdf-invoices-packing-slips

PDF Invoices & Packing Slips for WooCommerce <= 5.6.0 - Missing Authorization to Authenticated (Subscriber+) Peppol Identifier Modification

MEDIUM PLUGIN

woocommerce-pdf-invoices-packing-slips

WooCommerce PDF Invoices & Packing Slips <= 4.9.1 - Missing Authorization

MEDIUM PLUGIN

woocommerce-pdf-invoices-packing-slips

WooCommerce PDF Invoices & Packing Slips <= 3.8.6 - Missing Authorization

HIGH PLUGIN

woocommerce-pdf-invoices-packing-slips

PDF Invoices & Packing Slips for WooCommerce <= 3.8.0 - Unauthenticated Server-Side Request Forgery

MEDIUM PLUGIN

woocommerce-pdf-invoices-packing-slips

WooCommerce PDF Invoices & Packing Slips <= 3.2.5 - Cross Site Request Forgery

¿Tu WordPress podría estar expuesto?

Comprueba si tu web tiene esta vulnerabilidad

Nuestro analizador detecta plugins desactualizados, brechas de seguridad activas y vulnerabilidades conocidas en menos de 2 minutos, de forma gratuita.

Hacer el análisis gratis

Protección profesional para tu WordPress

¿Necesitas ayuda de un experto?

Nuestro servicio de mantenimiento y seguridad WordPress gestiona actualizaciones, parchea vulnerabilidades y monitoriza tu web de forma continua.

Hablar con un experto
Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad