CVE-2025-24373

Nome do Software Vulnerável e Versões Afetadas woocommerce-pdf-invoices-packing-slips versões anteriores à 4.0.0

Descrição Esta vulnerabilidade permite que usuários não autorizados acessem qualquer documento PDF de uma loja caso tenham acesso a um link de documento para convidados e substituam a variável de URL my-account por bulk. O problema ocorre quando o acesso aos documentos da loja está configurado como "convidado" e o usuário não está logado, comprometendo a confidencialidade de documentos sensíveis. Todas as lojas que utilizam o plugin com a opção de acesso para convidados habilitada são afetadas.

Recomendações Para versões anteriores à 4.0.0, atualize para a versão 4.0.0 ou posterior para resolver o problema. Como solução temporária, considere desabilitar a opção de acesso para convidados para minimizar o risco de exploração. Restrinja o acesso a documentos sensíveis até que o problema seja resolvido.