Hallo,

http://example.org?download_file%20&order=wc_order_3WEeKLUlTLMeR&uid=01fc9f1c03a19aefd525332ef4be04a256027f44e5edae40bfcb877209171475&key=9103f508-1679-4d66-8bd7-1680750cc38b

Und das funktioniert auch bei "normalen" Emailadressen. Nur eben nicht bei third-level.

dann hat also die Funktion eine Schwachstelle, die den Hash generiert (oder einen der drei Hash-Werte).

Was mir auch seltsam vorkommt: Das Leerzeichen hinter download_file. Das hat vielleicht gar nichts mit dem Problem zu tun, aber es fällt auf.

Was aber auch (unabhängig von der anderen Problematik) noch sonderbar ist, im Woocomerce Admin gibts den Link "für Kunden" auch, dann enthält dieser allerdings die Email in Klarschrift, was auch nicht gut durchdacht scheint, denn so könnte man denken, sende ich halt den angezeigten Link manuell an den Kunden.

Ja, das hört sich in der Tat nicht nach einer guten Idee an.

Ciao,
 Martin