本文詳細分析Welcart電商插件CVE-2025-12979漏洞,該漏洞由於缺少權限檢查導致未授權攻擊者可獲取支付憑證、業務聯繫信息和郵件模板等敏感數據,影響版本2.11.24及以下。
概述
Welcart電商插件存在未授權數據訪問漏洞,CVSS評分5.3(中危)。
漏洞描述
WordPress的Welcart電商插件在所有2.11.24及更早版本中,由於對'usces_export'操作缺少能力檢查,容易導致數據被未授權訪問。這使得未經身份驗證的攻擊者能夠訪問配置的支付憑證(例如PayPal API密鑰)、業務聯繫詳情、郵件模板以及其他與商店相關的操作設置。
漏洞詳情
- 發佈時間:2025年11月13日 04:15
- 最後修改:2025年11月13日 04:15
- 遠程利用:是
- 漏洞來源:security@wordfence.com
受影響產品
目前尚未記錄受影響的具體產品信息。
總受影響供應商:0 | 產品:0
CVSS評分
|
分數
|
版本
|
嚴重性
|
攻擊向量
|
可利用性分數
|
影響分數
|
來源
|
|
5.3
|
CVSS 3.1
|
中危
|
3.9
|
1.4
|
security@wordfence.com
|
|
|
5.3
|
CVSS 3.1
|
中危
|
3.9
|
1.4
|
MITRE-CVE
|
解決方案
- 將Welcart電商插件更新至2.11.25或更高版本以修復授權繞過問題
- 驗證訪問控制檢查是否正確實施
相關參考
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3394001%40usc-e-shop&new=3394001%40usc-e-shop&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/26255cd9-2361-4d17-8d1b-9bdadcc69043?source=cve
CWE分類
CWE-862:缺少授權
CAPEC攻擊模式
CAPEC-665:利用Thunderbolt保護缺陷
漏洞時間線
- 2025年11月13日:收到來自security@wordfence.com的新CVE報告
漏洞評分詳情
CVSS 3.1基礎評分:5.3
|
攻擊向量
|
攻擊複雜度
|
所需權限
|
用户交互
|
範圍
|
機密性影響
|
完整性影響
|
可用性影響
|
|
網絡
|
低
|
無
|
無
|
未變更
|
低
|
無
|
無
|
|
更多精彩內容 請關注我的個人公眾號 公眾號(辦公AI智能小助手)
|
|||||||
|
對網絡安全、黑客技術感興趣的朋友可以關注我的安全公眾號(網絡安全技術點滴分享)
|