CVE-2023-0479

As versões anteriores à 4.7.2 do plugin “Print Invoice & Delivery Notes for WooCommerce” para WordPress

O problema é causado por uma vulnerabilidade XSS refletida, que ocorre quando um valor GET é exibido em uma nota de administrador na página de pedidos do WooCommerce. Isso pode ser explorado por usuários com a permissão edit others shop orders, desde que o WooCommerce esteja instalado e ativo. A vulnerabilidade é resultado do uso da função urldecode() após a limpeza com esc url raw(), permitindo a codificação dupla.

Para versões anteriores à 4.7.2, atualize para a versão 4.7.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à página de pedidos do WooCommerce para usuários com a capacidade edit others shop orders até que a atualização seja aplicada.