概述
Welcart电商插件存在未授权数据访问漏洞,CVSS评分5.3(中危)。
漏洞描述
WordPress的Welcart电商插件在所有2.11.24及更早版本中,由于对'usces_export'操作缺少能力检查,容易导致数据被未授权访问。这使得未经身份验证的攻击者能够访问配置的支付凭证(例如PayPal API密钥)、业务联系详情、邮件模板以及其他与商店相关的操作设置。
漏洞详情
- 发布时间:2025年11月13日 04:15
- 最后修改:2025年11月13日 04:15
- 远程利用:是
- 漏洞来源:security@wordfence.com
受影响产品
目前尚未记录受影响的具体产品信息。 总受影响供应商:0 | 产品:0
CVSS评分
| 分数 | 版本 | 严重性 | 攻击向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 5.3 | CVSS 3.1 | 中危 | 3.9 | 1.4 | security@wordfence.com | |
| 5.3 | CVSS 3.1 | 中危 | 3.9 | 1.4 | MITRE-CVE |
解决方案
- 将Welcart电商插件更新至2.11.25或更高版本以修复授权绕过问题
- 验证访问控制检查是否正确实施
相关参考
CWE分类
CWE-862:缺少授权
CAPEC攻击模式
CAPEC-665:利用Thunderbolt保护缺陷
漏洞时间线
- 2025年11月13日:收到来自security@wordfence.com的新CVE报告
漏洞评分详情
CVSS 3.1基础评分:5.3
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 无 | 未变更 | 低 | 无 | 无 |
