CVE-2026-12415
Kritisk

CVE-2026-12415: Rettighedseskalering i WordPress Invoice Generator

Kritisk WordPress-fejl lader hackere overtage administratorkonti via Invoice Generator-plugin (version 1.0.0 og ældre).

CVSS Score
9.8
Offentliggjort
27/06/2026
Patch-status
in_development
Exploit
poc_public
Tidsfrist
Handl inden for 24 timer

Hvad er det?

Invoice Generator-pluginet til WordPress indeholder en alvorlig programmeringsfejl, der gør det muligt for en angriber uden nogen form for login at ændre e-mailadressen på en vilkårlig bruger – herunder administratorer. Fejlen skyldes, at en bestemt funktion i pluginet (pravel_invoice_edit_account) er tilgængelig for alle på nettet uden adgangskontrol, og at pluginet ikke tjekker, om den person der sender forespørgslen, rent faktisk er logget ind eller har rettigheder til at foretage ændringen. Når e-mailadressen er ændret, kan angriberen blot bede WordPress om at sende en nulstilling af adgangskoden til den nye, angriber-kontrollerede e-mailadresse – og dermed overtage kontoen.

Hvem rammer det?

Sårbarheden rammer alle WordPress-hjemmesider, der har pluginet Invoice Generator installeret i version 1.0.0 eller ældre. Det gælder typisk mindre virksomheder, freelancere og webshops, der bruger pluginet til at generere fakturaer direkte fra deres hjemmeside. Har du dette plugin installeret og ikke opdateret det, er din hjemmeside i risiko – uanset om den ellers er godt sikret.

Hvad kan ske?

En angriber kan uden at have en konto på din hjemmeside:

  • Ændre e-mailadressen på din administratorkonto til én, angriberen selv kontrollerer
  • Udløse WordPress’ normale funktion til nulstilling af adgangskode – og modtage linket i sin egen indbakke
  • Logge ind som administrator og overtage fuld kontrol over din hjemmeside
  • Installere skadelig software (malware), stjæle kundedata, omdirigere besøgende til svindelsider eller slette indhold

Konsekvenserne kan inkludere GDPR-brud (brud på persondatabeskyttelsesreglerne), tab af omdømme og direkte økonomisk skade.

Hvor alvorligt er det?

Denne sårbarhed er vurderet til 9,8 ud af 10 på den internationale CVSS-skala (Common Vulnerability Scoring System – en standard for at måle alvorligheden af sikkerhedsfejl) og klassificeres som Kritisk. Det er den højest mulige risikovurdering i praksis. Angriberen behøver hverken et login, særlige tekniske færdigheder eller adgang til din virksomheds netværk – angrebet kan udføres af hvem som helst, fra hvor som helst på internettet, uden nogen form for brugerinteraktion fra din side.

Hvad gør jeg nu?

Handl så hurtigt som muligt. Følg disse trin:

  1. Log ind på din WordPress-adminpanel og gå til Plugins → Installerede plugins.
  2. Find Invoice Generator i listen og tjek, om der er en opdatering tilgængelig. Opdatér pluginet straks, hvis en ny version er udgivet.
  3. Hvis ingen opdatering er tilgængelig, så deaktivér og slet pluginet midlertidigt, indtil en sikkerhedsopdatering foreligger.
  4. Tjek dine brugerkonti under Brugere → Alle brugere, og verificér at administrator-e-mailadresser er korrekte og ikke er blevet ændret.
  5. Skift adgangskoder på alle administratorkonti som en ekstra sikkerhedsforanstaltning.
  6. Aktivér to-faktor-godkendelse (et ekstra logintrin udover adgangskode) på administratorkonti, hvis det ikke allerede er gjort.
  7. Kontakt din webmaster eller IT-leverandør, hvis du er i tvivl om, hvordan du udfører ovenstående trin.
Tidsfrist

Handl inden for 24 timer

Sådan ser Auroa det

Vi anbefaler, at du straks deaktiverer Invoice Generator-pluginet, indtil udvikleren udgiver en opdateret og sikker version. Tjek samtidig, om dine administratorkonti er intakte, og aktivér to-faktor-godkendelse. Denne type sårbarhed er nem at udnytte automatisk i stor skala, og angribere scanner konstant internettet for sårbare WordPress-sider – vent derfor ikke med at handle.

Tidslinje

27/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-12415 i Invoice Generator-pluginet til WordPress bliver officielt offentliggjort i NVD (National Vulnerability Database) med en kritisk CVSS-score på 9,8.
27/06/2026
Tekniske detaljer tilgængelige
Den fulde tekniske beskrivelse af fejlen – herunder hvilken funktion der er sårbar, og præcis hvordan den kan udnyttes – er tilgængelig offentligt, hvilket gør det relativt let for angribere at udnytte fejlen.
28/06/2026
Automatiseret scanning forventes
Erfaringsmæssigt begynder automatiserede scanningsværktøjer at lede efter sårbare WordPress-installationer inden for 24-48 timer efter offentliggørelsen af kritiske sårbarheder som denne.
09/07/2026
Sikkerhedsopdatering fra udvikler
En opdateret version af Invoice Generator-pluginet, der retter fejlen, er endnu ikke offentliggjort. Følg med på WordPress plugin-siden for pluginet og opdatér straks, når en ny version er tilgængelig.

Konkrete eksempler

Overtagelse af WordPress-administratorkonto

En angriber identificerer en WordPress-hjemmeside med Invoice Generator installeret. Via et simpelt automatiseret script sender angriberen en POST-forespørgsel direkte til hjemmesidens AJAX-endpoint med en administrators bruger-ID og en e-mailadresse, angriberen selv kontrollerer. WordPress opdaterer administratorens e-mail uden at stille spørgsmål. Angriberen klikker derefter på ‘Glemt adgangskode’ på login-siden, modtager nulstillingslinket i sin egen indbakke og logger ind som administrator med fuld kontrol over hjemmesiden.

Masseangreb via automatiseret scanning

En kriminel gruppe kører et automatiseret scanningsprogram, der gennemsøger tusindvis af WordPress-hjemmesider på én gang og tester, om de er sårbare over for CVE-2026-12415. Alle sårbare sider angribes automatisk, og administratorkontiene overtages. Gruppen installerer herefter malware på alle kompromitterede sider, som bruges til at sprede phishing (svindelmails) eller til at mine kryptovaluta på de besøgendes computere – alt uden at ejerne opdager det i første omgang.

Målrettet angreb mod en webshop

En konkurrent eller kriminel aktør ved, at en bestemt virksomheds webshop kører WordPress med Invoice Generator. Via sårbarheden overtager angriberen administratorkontoen og tilgår ordrehistorik, kundeoplysninger og betalingsdata gemt i systemet. Disse data bruges til identitetstyveri eller sælges videre. Virksomheden opdager først bruddet, da kunder begynder at klage over misbrug af deres kortoplysninger.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-269

Original NVD-beskrivelse (engelsk)

The Invoice Generator plugin for WordPress is vulnerable to privilege escalation due to a missing capability check on the pravel_invoice_edit_account() AJAX action in versions up to, and including, 1.0.0. The handler is exposed via wp_ajax_nopriv_pravel_invoice_edit_account, accepts an attacker-controlled user_id and user_email from POST data, and calls wp_update_user() without verifying authentication, ownership, or a nonce. This makes it possible for unauthenticated attackers to change the email address of any user, including administrators, and then trigger WordPress’s password reset flow to gain access to the targeted account.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-12415
Offentliggjort
27/06/2026
Sidst opdateret
27/06/2026
Exploit-status
poc_public
Patch-status
in_development
Tidsfrist
Handl inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.