PDF-счеты и упаковочные слипы для плагина WooCommerce для WordPress уязвимы для Insecure Direct Object Reference во всех версиях до 5.6.0 ч…
PDF-счеты и упаковочные слипы для плагина WooCommerce для WordPress уязвимы для Insecure Direct Object Reference во всех версиях до 5.6.0 через действие AJAX от `wpo_ips_edi_save_order_corder_customer_peppol_identifiers` AJAX из-за отсутствующих проверок возможностей и проверки собственности на заказ. Это позволяет аутентифицированным злоумышленникам с доступом на уровне подписчика и выше изменять идентификаторы конечных точек Peppol/EDI (`peppol_endpoint_id``, `peppol_endpoint_eas`) для любого клиента, указывая произвольный параметр `order_id` на системах с использованием выставления счетов Peppol. Это может повлиять на маршрутизацию заказов в сети Peppol и может привести к сбоям в платежах и утечке данных.
Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается |