CVE-2026-12416: Account takeover via password reset i WordPress Invoice Generator
Kritisk WordPress-fejl lader hackere overtage administratorkonti uden login via Invoice Generator plugin (op til v1.0.0).
Hvad er det?
WordPress-pluginnet Invoice Generator (version 1.0.0 og ældre) indeholder en alvorlig programmeringsfejl i sin funktion til nulstilling af adgangskoder. Funktionen er tilgængelig uden login og tjekker ikke, om den der kalder den, har lov. Desuden bruger den en fejlagtig sammenligning: to tomme værdier anses for ens, hvilket betyder at en angriber blot kan undlade at sende en aktiveringskode — og alligevel komme igennem. Resultatet er, at en udefrakommende person frit kan vælge hvilken konto der skal overtages, herunder din administratorkonto, og sætte en ny adgangskode efter eget valg.
Hvem rammer det?
Alle WordPress-hjemmesider der kører pluginnet Invoice Generator i version 1.0.0 eller tidligere. Fejlen rammer særligt hårdt, fordi administratorkonti normalt aldrig har igangsat en glemtkodeord-proces — og det er præcis den situation, der gør dem sårbare. Hvis du bruger dette plugin til at sende fakturaer direkte fra dit WordPress-site, er du i risikogruppen.
Hvad kan ske?
En angriber kan uden videre overtage din administratorkonto og dermed få fuld kontrol over dit WordPress-site. Det betyder i praksis:
- Adgang til alle kundedata, fakturaer og personoplysninger gemt på sitet
- Mulighed for at installere skadelig software (malware) på din hjemmeside
- Hjemmesiden kan bruges til at angribe dine besøgende eller sprede svindel
- Du kan blive låst ude af dit eget site
- Data kan slettes, eksporteres eller misbruges i strid med GDPR
Hvor alvorligt er det?
Sårbarheden er vurderet til 9,8 ud af 10 (Kritisk) på CVSS-skalaen, som er den mest udbredte standard til at måle alvorlighed af sikkerhedsfejl. Den scorer maksimalt på alle centrale parametre: den kan udnyttes over internettet, kræver ingen særlige tekniske forudsætninger, ingen adgangskode, ingen hjælp fra dig eller dine medarbejdere, og giver angriberen fuld kontrol over fortrolighed, dataintegritet og tilgængelighed. Det er meget sjældent at se en fejl med disse karakteristika — den bør behandles som en reel brand.
Hvad gør jeg nu?
Handles nu. Denne fejl kan udnyttes af enhver med en internetforbindelse, og kræver ingen teknisk viden. Gør følgende med det samme:
- Log ind på dit WordPress-dashboard og gå til Plugins → Installerede plugins.
- Deaktiver Invoice Generator-pluginnet øjeblikkeligt, indtil en sikker version er tilgængelig. En deaktiveret plugin kan ikke udnyttes.
- Tjek dine brugerkonti under Brugere → Alle brugere for ukendte konti eller ændringer i administratorroller.
- Skift adgangskoder på alle administratorkonti som en sikkerhedsforanstaltning — brug lange, unikke koder.
- Aktivér logning eller bed din webmaster om at gennemgå sikkerhedslogfiler for at se, om der allerede har været uautoriseret adgang.
- Hold øje med pluginudviklerens opdateringer og installer en rettet version, så snart den er tilgængelig.
Deaktivér pluginnet i dag
Vores klare anbefaling er at deaktivere Invoice Generator-pluginnet med det samme, indtil udvikleren udgiver en rettet version. Fejlen er triviel at udnytte — det kræver ikke teknisk ekspertise, og den rammer administratorkonti, som normalt er de mest kritiske konti på dit site. Kontakt din webmaster eller IT-leverandør i dag, og bed dem bekræfte at pluginnet er deaktiveret og at ingen ukendte konti er oprettet.
Tidslinje
Konkrete eksempler
Overtag administratorkontoen med én kommando
En angriber finder frem til dit WordPress-sites adresse og sender en simpel HTTP-forespørgsel direkte til WordPress’s AJAX-endepunkt. I forespørgslen angiver angriberen dit administrators bruger-ID (som ofte er 1 på ældre WordPress-sites) og en ny, selvvalgt adgangskode — uden at opgive en aktiveringskode. Fordi tjekket af aktiveringskoden fejlagtigt godkender en tom værdi, sættes administratorens adgangskode straks til angribers valg, og angriberen logger roligt ind på dit site.
Masseangreb mod WordPress-sites med pluginnet
En angriber opsætter et automatiseret script, der scanner tusindvis af WordPress-sites for at finde dem, der kører Invoice Generator. For hvert sårbart site sendes automatisk en overtagekommando. På få timer kan angriberen have kontrol over hundredevis af sites, som efterfølgende bruges til at sprede malware til besøgende eller sende spam-e-mails — uden at ejerne er klar over det.
Tyveri af kundedata og fakturaoplysninger
Efter at have overtaget administratorkontoen på en SMV’s WordPress-site logger angriberen ind og eksporterer alle gemte fakturaer og kundeoplysninger, herunder navne, adresser og CVR-numre. Disse data kan sælges videre på det mørke net eller bruges til målrettede svindelforsøg mod virksomhedens kunder — og virksomheden risikerer et GDPR-brud med tilhørende bødekrav.
Ofte stillede spørgsmål
Jeg bruger Invoice Generator — er jeg allerede hacket?
Det er ikke sikkert, men du kan ikke udelukke det. Fejlen har eksisteret siden pluginnets udgivelse, og den er nem at udnytte. Log ind på dit WordPress-site og tjek brugerlisterne for ukendte konti. Gennemgå også dine sikkerhedslogfiler, eller bed din webmaster om at gøre det. Hvis du finder noget mistænkeligt, bør du kontakte en IT-sikkerhedsekspert.
Mister jeg mine fakturaer og data, hvis jeg deaktiverer pluginnet?
Nej. At deaktivere et plugin sletter ikke de data, det har gemt i din database. Dine fakturaer og kundedata forbliver intakte. Du mister blot adgangen til pluginnets funktioner, indtil det aktiveres igen. Tag gerne en backup af din database, før du foretager dig noget.
Hvad er en AJAX-handler, og hvorfor er det et problem her?
En AJAX-handler er en bagdørs-indgang på din hjemmeside, som programmer og scripts kan sende data til — uden at siden genindlæses. WordPress har to typer: én der kræver login, og én der er åben for alle (kaldet ‘nopriv’). I dette tilfælde er adgangskode-nulstillingen fejlagtigt sat op som den åbne type, så hvem som helst på internettet kan sende en kommando til den — uden at være logget ind.
Kommer der en opdatering til pluginnet?
Pr. CVE’ens offentliggørelsesdato den 24. juni 2026 er der ikke bekræftet en rettet version. Hold øje med pluginnets side på wordpress.org eller kontakt udvikleren direkte. Installer straks opdateringen, når den udkommer — og hold pluginnet deaktiveret i mellemtiden.
Kan mit sikkerhedsplugin (f.eks. Wordfence) beskytte mig?
Muligvis delvist. Nogle sikkerhedsplugins kan blokere mistænkelige AJAX-forespørgsler eller begrænse adgang til visse URL’er. Men det er ikke en garanti, og det erstatter ikke en egentlig rettelse af fejlen. Den sikreste løsning er at deaktivere det sårbare plugin, indtil en patch er tilgængelig.
Gælder GDPR her — skal jeg anmelde et databrud?
Hvis du har grund til at tro, at personoplysninger er tilgået eller misbrugt af uvedkommende, har du efter GDPR pligt til at anmelde det til Datatilsynet inden for 72 timer. Hvis du er i tvivl om, hvorvidt der er sket et brud, bør du kontakte en juridisk eller IT-sikkerhedsmæssig rådgiver hurtigst muligt.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
The Invoice Generator plugin for WordPress is vulnerable to Account Takeover via Password Reset in all versions up to, and including, 1.0.0. This is due to the `pravel_invoice_change_password()` function being registered as a nopriv AJAX handler with no nonce verification and no authorization check, and performing a loose equality comparison between the supplied `reset_activation_code` POST parameter and the target user’s stored `forgot_email` user meta — a check that trivially evaluates to true (`” == ”`) for any user who has never initiated a forgot-password request, which applies to administrators under normal conditions. This makes it possible for unauthenticated attackers to supply an arbitrary user ID via the `reset_user_id` POST parameter, bypass the activation code check entirely by omitting `reset_activation_code`, and set the target account’s password to an attacker-chosen value, enabling full takeover of any account on the site, including administrator accounts.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
