CVE-2026-12416
Kritisk

CVE-2026-12416: Account takeover via password reset i WordPress Invoice Generator

Kritisk WordPress-fejl lader hackere overtage administratorkonti uden login via Invoice Generator plugin (op til v1.0.0).

CVSS Score
9.8
Offentliggjort
24/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Deaktivér pluginnet i dag

Hvad er det?

WordPress-pluginnet Invoice Generator (version 1.0.0 og ældre) indeholder en alvorlig programmeringsfejl i sin funktion til nulstilling af adgangskoder. Funktionen er tilgængelig uden login og tjekker ikke, om den der kalder den, har lov. Desuden bruger den en fejlagtig sammenligning: to tomme værdier anses for ens, hvilket betyder at en angriber blot kan undlade at sende en aktiveringskode — og alligevel komme igennem. Resultatet er, at en udefrakommende person frit kan vælge hvilken konto der skal overtages, herunder din administratorkonto, og sætte en ny adgangskode efter eget valg.

Hvem rammer det?

Alle WordPress-hjemmesider der kører pluginnet Invoice Generator i version 1.0.0 eller tidligere. Fejlen rammer særligt hårdt, fordi administratorkonti normalt aldrig har igangsat en glemtkodeord-proces — og det er præcis den situation, der gør dem sårbare. Hvis du bruger dette plugin til at sende fakturaer direkte fra dit WordPress-site, er du i risikogruppen.

Hvad kan ske?

En angriber kan uden videre overtage din administratorkonto og dermed få fuld kontrol over dit WordPress-site. Det betyder i praksis:

  • Adgang til alle kundedata, fakturaer og personoplysninger gemt på sitet
  • Mulighed for at installere skadelig software (malware) på din hjemmeside
  • Hjemmesiden kan bruges til at angribe dine besøgende eller sprede svindel
  • Du kan blive låst ude af dit eget site
  • Data kan slettes, eksporteres eller misbruges i strid med GDPR

Hvor alvorligt er det?

Sårbarheden er vurderet til 9,8 ud af 10 (Kritisk) på CVSS-skalaen, som er den mest udbredte standard til at måle alvorlighed af sikkerhedsfejl. Den scorer maksimalt på alle centrale parametre: den kan udnyttes over internettet, kræver ingen særlige tekniske forudsætninger, ingen adgangskode, ingen hjælp fra dig eller dine medarbejdere, og giver angriberen fuld kontrol over fortrolighed, dataintegritet og tilgængelighed. Det er meget sjældent at se en fejl med disse karakteristika — den bør behandles som en reel brand.

Hvad gør jeg nu?

Handles nu. Denne fejl kan udnyttes af enhver med en internetforbindelse, og kræver ingen teknisk viden. Gør følgende med det samme:

  1. Log ind på dit WordPress-dashboard og gå til Plugins → Installerede plugins.
  2. Deaktiver Invoice Generator-pluginnet øjeblikkeligt, indtil en sikker version er tilgængelig. En deaktiveret plugin kan ikke udnyttes.
  3. Tjek dine brugerkonti under Brugere → Alle brugere for ukendte konti eller ændringer i administratorroller.
  4. Skift adgangskoder på alle administratorkonti som en sikkerhedsforanstaltning — brug lange, unikke koder.
  5. Aktivér logning eller bed din webmaster om at gennemgå sikkerhedslogfiler for at se, om der allerede har været uautoriseret adgang.
  6. Hold øje med pluginudviklerens opdateringer og installer en rettet version, så snart den er tilgængelig.
Tidsfrist

Deaktivér pluginnet i dag

Sådan ser Auroa det

Vores klare anbefaling er at deaktivere Invoice Generator-pluginnet med det samme, indtil udvikleren udgiver en rettet version. Fejlen er triviel at udnytte — det kræver ikke teknisk ekspertise, og den rammer administratorkonti, som normalt er de mest kritiske konti på dit site. Kontakt din webmaster eller IT-leverandør i dag, og bed dem bekræfte at pluginnet er deaktiveret og at ingen ukendte konti er oprettet.

Tidslinje

24/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-12416 offentliggøres i National Vulnerability Database (NVD) med kritisk alvorlighedsvurdering på 9,8.
24/06/2026
Teknisk detaljegrad offentlig
Den fulde tekniske beskrivelse af fejlen — herunder hvilke parametre der skal sendes og præcis hvordan checket omgås — er tilgængelig i CVE-beskrivelsen, hvilket sænker kravene til angribere markant.
24/06/2026
Ingen patch tilgængelig
På tidspunktet for offentliggørelsen er der ikke udgivet en rettet version af pluginnet. Alle installationer af version 1.0.0 og ældre er fortsat sårbare.

Konkrete eksempler

Overtag administratorkontoen med én kommando

En angriber finder frem til dit WordPress-sites adresse og sender en simpel HTTP-forespørgsel direkte til WordPress’s AJAX-endepunkt. I forespørgslen angiver angriberen dit administrators bruger-ID (som ofte er 1 på ældre WordPress-sites) og en ny, selvvalgt adgangskode — uden at opgive en aktiveringskode. Fordi tjekket af aktiveringskoden fejlagtigt godkender en tom værdi, sættes administratorens adgangskode straks til angribers valg, og angriberen logger roligt ind på dit site.

Masseangreb mod WordPress-sites med pluginnet

En angriber opsætter et automatiseret script, der scanner tusindvis af WordPress-sites for at finde dem, der kører Invoice Generator. For hvert sårbart site sendes automatisk en overtagekommando. På få timer kan angriberen have kontrol over hundredevis af sites, som efterfølgende bruges til at sprede malware til besøgende eller sende spam-e-mails — uden at ejerne er klar over det.

Tyveri af kundedata og fakturaoplysninger

Efter at have overtaget administratorkontoen på en SMV’s WordPress-site logger angriberen ind og eksporterer alle gemte fakturaer og kundeoplysninger, herunder navne, adresser og CVR-numre. Disse data kan sælges videre på det mørke net eller bruges til målrettede svindelforsøg mod virksomhedens kunder — og virksomheden risikerer et GDPR-brud med tilhørende bødekrav.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-640

Original NVD-beskrivelse (engelsk)

The Invoice Generator plugin for WordPress is vulnerable to Account Takeover via Password Reset in all versions up to, and including, 1.0.0. This is due to the `pravel_invoice_change_password()` function being registered as a nopriv AJAX handler with no nonce verification and no authorization check, and performing a loose equality comparison between the supplied `reset_activation_code` POST parameter and the target user’s stored `forgot_email` user meta — a check that trivially evaluates to true (`” == ”`) for any user who has never initiated a forgot-password request, which applies to administrators under normal conditions. This makes it possible for unauthenticated attackers to supply an arbitrary user ID via the `reset_user_id` POST parameter, bypass the activation code check entirely by omitting `reset_activation_code`, and set the target account’s password to an attacker-chosen value, enabling full takeover of any account on the site, including administrator accounts.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-12416
Offentliggjort
24/06/2026
Sidst opdateret
24/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Deaktivér pluginnet i dag

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.