CRITICAL✓ PATCH🇬🇧 English

CVE-2026-52704

RCE w wtyczce WooCommerce PDF Invoice Builder — wstrzyknięcie kodu

CVSS 10.0v3.1pub. 2026-06-15

Wtyczka WooCommerce PDF Invoice Builder w wersjach do 2.0.8 zawiera krytyczną podatność klasy Code Injection umożliwiającą zdalne wykonanie kodu (RCE). Brak wymagań uwierzytelnienia i pełny zakres wpływu (poufność, integralność, dostępność) sprawiają, że zagrożenie jest natychmiastowe.

Pokaż oryginał (EN)

Improper Control of Generation of Code ('Code Injection') vulnerability in Edgar Rojas WooCommerce PDF Invoice Builder allows Remote Code Inclusion. This issue affects WooCommerce PDF Invoice Builder: from n/a through 2.0.8.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej kontroli generowania kodu (CWE-94), co umożliwia atakującemu zdalnie wstrzyknąć i wykonać dowolny kod przez mechanizm Remote Code Inclusion. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika, a wektor sieciowy i niska złożoność ataku czynią go trywialnym do przeprowadzenia. Zakres podatności wykracza poza kontekst samej wtyczki (S:C), co oznacza możliwość wpływu na całe środowisko serwerowe.

Skutki

Atakujący może przejąć pełną kontrolę nad serwerem hostującym witrynę WordPress — odczytać, zmodyfikować lub usunąć dane, zainstalować backdoor lub przeprowadzić lateral movement w infrastrukturze.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę WooCommerce PDF Invoice Builder do wersji wyższej niż 2.0.8 zgodnie z informacjami dostępnymi w repozytorium WordPress oraz w bazie Patchstack. Do czasu aktualizacji zaleca się dezaktywację wtyczki.

Kogo dotyczy

Wtyczka WordPress WooCommerce PDF Invoice Builder autorstwa Edgara Rojasa w wersjach od początku istnienia do 2.0.8 włącznie.

Uwagi

Podatność została udokumentowana przez Patchstack. Szczegóły techniczne dostępne pod adresem: https://patchstack.com/database/wordpress/plugin/woo-pdf-invoice-builder/vulnerability/wordpress-woocommerce-pdf-invoice-builder-plugin-2-0-8-remote-code-execution-rce-vulnerability

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje
CVE-2026-52704 — RCE w wtyczce WooCommerce PDF Invoice Builder — wstrzyknięcie kodu — CRITICAL 10.0 | CVEbaza.pl