CVE-2026-8611

Nome do Software Vulnerável e Versões Afetadas Klamra Paycal for Aspaclaria versões anteriores a 1.1.5

Descrição O plugin está sujeito a Insecure Direct Object Reference (Referência Direta Insegura a Objeto), uma condição em que uma aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário. Atacantes autenticados com nível de acesso de assinante ou superior podem baixar faturas de clientes arbitrárias enumerando IDs de postagens sequenciais através do parâmetro invoice id. Isso ocorre devido à falta de validação em uma chave controlada pelo usuário, levando à exposição de informações de identificação pessoal (PII) de faturamento sensíveis, como nomes completos, endereços de e-mail, números de telefone, totais de pedidos, itens de linha e notas de clientes.

Recomendações Atualize o plugin para uma versão posterior a 1.1.4. Como medida paliativa temporária, restrinja o acesso ao parâmetro invoice id para evitar downloads não autorizados de faturas.