Welcart 电商插件授权漏洞导致未授权信息泄露

概述

Welcart 电商插件存在未授权数据访问漏洞，CVSS 评分 5.3（中危）。

漏洞描述

WordPress 的 Welcart 电商插件在所有 2.11.24 及更早版本中，由于对'usces_export'操作缺少能力检查，容易导致数据被未授权访问。这使得未经身份验证的攻击者能够访问配置的支付凭证（例如 PayPal API 密钥）、业务联系详情、邮件模板以及其他与商店相关的操作设置。

漏洞详情

• 发布时间：2025 年 11 月 13 日 04:15

• 最后修改：2025 年 11 月 13 日 04:15

• 远程利用：是

• 漏洞来源：security@wordfence.com

受影响产品

目前尚未记录受影响的具体产品信息。总受影响供应商：0 | 产品：0

CVSS 评分

解决方案

• 将 Welcart 电商插件更新至 2.11.25 或更高版本以修复授权绕过问题

• 验证访问控制检查是否正确实施

相关参考

• https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3394001%40usc-e-shop&new=3394001%40usc-e-shop&sfp_email=&sfph_mail=

• https://www.wordfence.com/threat-intel/vulnerabilities/id/26255cd9-2361-4d17-8d1b-9bdadcc69043?source=cve

CWE 分类

CWE-862：缺少授权

CAPEC 攻击模式

CAPEC-665：利用 Thunderbolt 保护缺陷

漏洞时间线

• 2025 年 11 月 13 日：收到来自 security@wordfence.com 的新 CVE 报告

漏洞评分详情

CVSS 3.1 基础评分：5.3

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享