CVE-2026-12415: Rettighedseskalering i WordPress Invoice Generator
Kritisk WordPress-fejl lader hackere overtage administratorkonti via Invoice Generator-plugin (version 1.0.0 og ældre).
Hvad er det?
Invoice Generator-pluginet til WordPress indeholder en alvorlig programmeringsfejl, der gør det muligt for en angriber uden nogen form for login at ændre e-mailadressen på en vilkårlig bruger – herunder administratorer. Fejlen skyldes, at en bestemt funktion i pluginet (pravel_invoice_edit_account) er tilgængelig for alle på nettet uden adgangskontrol, og at pluginet ikke tjekker, om den person der sender forespørgslen, rent faktisk er logget ind eller har rettigheder til at foretage ændringen. Når e-mailadressen er ændret, kan angriberen blot bede WordPress om at sende en nulstilling af adgangskoden til den nye, angriber-kontrollerede e-mailadresse – og dermed overtage kontoen.
Hvem rammer det?
Sårbarheden rammer alle WordPress-hjemmesider, der har pluginet Invoice Generator installeret i version 1.0.0 eller ældre. Det gælder typisk mindre virksomheder, freelancere og webshops, der bruger pluginet til at generere fakturaer direkte fra deres hjemmeside. Har du dette plugin installeret og ikke opdateret det, er din hjemmeside i risiko – uanset om den ellers er godt sikret.
Hvad kan ske?
En angriber kan uden at have en konto på din hjemmeside:
- Ændre e-mailadressen på din administratorkonto til én, angriberen selv kontrollerer
- Udløse WordPress’ normale funktion til nulstilling af adgangskode – og modtage linket i sin egen indbakke
- Logge ind som administrator og overtage fuld kontrol over din hjemmeside
- Installere skadelig software (malware), stjæle kundedata, omdirigere besøgende til svindelsider eller slette indhold
Konsekvenserne kan inkludere GDPR-brud (brud på persondatabeskyttelsesreglerne), tab af omdømme og direkte økonomisk skade.
Hvor alvorligt er det?
Denne sårbarhed er vurderet til 9,8 ud af 10 på den internationale CVSS-skala (Common Vulnerability Scoring System – en standard for at måle alvorligheden af sikkerhedsfejl) og klassificeres som Kritisk. Det er den højest mulige risikovurdering i praksis. Angriberen behøver hverken et login, særlige tekniske færdigheder eller adgang til din virksomheds netværk – angrebet kan udføres af hvem som helst, fra hvor som helst på internettet, uden nogen form for brugerinteraktion fra din side.
Hvad gør jeg nu?
Handl så hurtigt som muligt. Følg disse trin:
- Log ind på din WordPress-adminpanel og gå til Plugins → Installerede plugins.
- Find Invoice Generator i listen og tjek, om der er en opdatering tilgængelig. Opdatér pluginet straks, hvis en ny version er udgivet.
- Hvis ingen opdatering er tilgængelig, så deaktivér og slet pluginet midlertidigt, indtil en sikkerhedsopdatering foreligger.
- Tjek dine brugerkonti under Brugere → Alle brugere, og verificér at administrator-e-mailadresser er korrekte og ikke er blevet ændret.
- Skift adgangskoder på alle administratorkonti som en ekstra sikkerhedsforanstaltning.
- Aktivér to-faktor-godkendelse (et ekstra logintrin udover adgangskode) på administratorkonti, hvis det ikke allerede er gjort.
- Kontakt din webmaster eller IT-leverandør, hvis du er i tvivl om, hvordan du udfører ovenstående trin.
Handl inden for 24 timer
Vi anbefaler, at du straks deaktiverer Invoice Generator-pluginet, indtil udvikleren udgiver en opdateret og sikker version. Tjek samtidig, om dine administratorkonti er intakte, og aktivér to-faktor-godkendelse. Denne type sårbarhed er nem at udnytte automatisk i stor skala, og angribere scanner konstant internettet for sårbare WordPress-sider – vent derfor ikke med at handle.
Tidslinje
Konkrete eksempler
Overtagelse af WordPress-administratorkonto
En angriber identificerer en WordPress-hjemmeside med Invoice Generator installeret. Via et simpelt automatiseret script sender angriberen en POST-forespørgsel direkte til hjemmesidens AJAX-endpoint med en administrators bruger-ID og en e-mailadresse, angriberen selv kontrollerer. WordPress opdaterer administratorens e-mail uden at stille spørgsmål. Angriberen klikker derefter på ‘Glemt adgangskode’ på login-siden, modtager nulstillingslinket i sin egen indbakke og logger ind som administrator med fuld kontrol over hjemmesiden.
Masseangreb via automatiseret scanning
En kriminel gruppe kører et automatiseret scanningsprogram, der gennemsøger tusindvis af WordPress-hjemmesider på én gang og tester, om de er sårbare over for CVE-2026-12415. Alle sårbare sider angribes automatisk, og administratorkontiene overtages. Gruppen installerer herefter malware på alle kompromitterede sider, som bruges til at sprede phishing (svindelmails) eller til at mine kryptovaluta på de besøgendes computere – alt uden at ejerne opdager det i første omgang.
Målrettet angreb mod en webshop
En konkurrent eller kriminel aktør ved, at en bestemt virksomheds webshop kører WordPress med Invoice Generator. Via sårbarheden overtager angriberen administratorkontoen og tilgår ordrehistorik, kundeoplysninger og betalingsdata gemt i systemet. Disse data bruges til identitetstyveri eller sælges videre. Virksomheden opdager først bruddet, da kunder begynder at klage over misbrug af deres kortoplysninger.
Ofte stillede spørgsmål
Hvordan ved jeg, om min hjemmeside er blevet kompromitteret?
Tegn på at din hjemmeside kan være overtaget inkluderer: ukendte administratorbrugere i WordPress, ændrede e-mailadresser på eksisterende konti, ny eller ukendt kode i temaer og plugins, pludselige omdirigeringer til andre sider, eller at Google markerer din side som farlig. Tjek logfiler og brugerkonti, eller kontakt din webmaster for en gennemgang.
Jeg bruger Invoice Generator – er jeg automatisk hacket?
Ikke nødvendigvis. At have det sårbare plugin installeret betyder, at du er i risiko, men ikke at et angreb allerede har fundet sted. Jo hurtigere du deaktiverer eller opdaterer pluginet, jo mindre er risikoen. Tjek dog dine administratorkonti for at være på den sikre side.
Kan mit sikkerhedsplugin (f.eks. Wordfence) beskytte mig?
Nogle sikkerhedsplugins kan opdage og blokere mistænkelige forespørgsler, men de er ikke en garanti mod denne type angreb. Den bedste beskyttelse er at opdatere eller fjerne det sårbare plugin. Brug sikkerhedsplugins som et supplement, ikke som den eneste beskyttelse.
Hvad er en nonce, og hvorfor er det vigtigt?
En nonce (Number Used Once) er en unik sikkerhedskode, som WordPress bruger til at verificere, at en handling – f.eks. at ændre kontooplysninger – er initieret af den rigtige bruger via den rigtige side. Mangler denne kontrol, kan hvem som helst sende den pågældende kommando direkte til hjemmesiden og få den udført, selv uden at være logget ind.
Gælder dette kun for WordPress?
Ja, denne specifikke sårbarhed er udelukkende i Invoice Generator-pluginet til WordPress. Andre hjemmesideplatforme som Wix, Squarespace eller Shopify er ikke berørt. Bruger du en anden faktureringsløsning end netop dette plugin, er du heller ikke i risiko for denne specifikke fejl.
Kan jeg risikere en GDPR-bøde, hvis min side bliver hacket via denne fejl?
Ja, det kan du. Hvis en angriber via din hjemmeside får adgang til personoplysninger om dine kunder eller medarbejdere, er du som dataansvarlig forpligtet til at anmelde bruddet til Datatilsynet inden for 72 timer. Undlader du det, kan det resultere i bøder. Det er endnu en grund til at handle hurtigt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Invoice Generator plugin for WordPress is vulnerable to privilege escalation due to a missing capability check on the pravel_invoice_edit_account() AJAX action in versions up to, and including, 1.0.0. The handler is exposed via wp_ajax_nopriv_pravel_invoice_edit_account, accepts an attacker-controlled user_id and user_email from POST data, and calls wp_update_user() without verifying authentication, ownership, or a nonce. This makes it possible for unauthenticated attackers to change the email address of any user, including administrators, and then trigger WordPress’s password reset flow to gain access to the targeted account.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
