免费扫描
分析待定CVE-2025-14755

CVE-2025-14755: IDOR in Cost Calculator Builder WordPress Plugin

平台

wordpress

组件

cost-calculator-builder

修复版本

4.0.2

在NVD查看
保存

CVE-2025-14755 描述了Cost Calculator Builder WordPress插件中的一个安全漏洞,属于未授权价格操纵和不安全直接对象引用(IDOR)。该漏洞影响所有版本小于等于4.0.1的插件,但仅在与Cost Calculator Builder PRO结合使用时才会触发。 攻击者可以利用此漏洞未经身份验证地修改WooCommerce支付信息。 建议用户尽快升级至4.0.2版本以修复此安全问题。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

此漏洞允许未经身份验证的攻击者操纵WooCommerce支付信息,从而可能导致财务损失或欺诈行为。攻击者可以修改订单总额、支付方式或其他相关参数,从而绕过正常的支付流程。由于该漏洞存在于WordPress插件中,如果网站使用该插件,并且未及时更新,则可能面临安全风险。攻击者可能通过在网站上注入恶意代码或利用插件的已知漏洞来发起攻击。 此外,攻击者可能利用此漏洞获取敏感的支付信息,例如信用卡号或银行账户信息,从而进行进一步的攻击。

利用背景

目前尚无公开的漏洞利用代码(POC)。该漏洞已发布到NVD,CISA尚未发布相关公告。 漏洞的CVSS评分为中等,表明其存在一定程度的风险。 建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

CISA SSVC

利用情况none
可自动化no
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N5.3MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityNone敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
无 — 无机密性影响。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件cost-calculator-builder
供应商wordfence
最高版本4.0.1
修复版本4.0.2

弱点分类 (CWE)

CWE-862

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期

缓解措施和替代方案

最有效的缓解措施是立即将Cost Calculator Builder WordPress插件升级至4.0.2版本或更高版本。如果升级导致网站出现问题,可以考虑回滚到之前的版本,但请注意这会使系统继续暴露于漏洞中。 此外,建议实施Web应用防火墙(WAF)或代理服务器,以检测和阻止恶意请求。 还可以通过限制对ccbwoocommercepayment AJAX action的访问来缓解风险,例如仅允许经过身份验证的用户访问该操作。 升级后,请检查WooCommerce支付流程是否正常运行,以确认漏洞已成功修复。

修复方法

更新到 4.0.2 版本,或更新的补丁版本

常见问题

什么是CVE-2025-14755 — IDOR in Cost Calculator Builder WordPress插件?

CVE-2025-14755描述了Cost Calculator Builder WordPress插件中的一个安全漏洞,允许未经身份验证的攻击者操纵WooCommerce支付信息。该漏洞属于不安全直接对象引用(IDOR),影响版本小于等于4.0.1的插件。

我是否受到CVE-2025-14755 in Cost Calculator Builder WordPress插件的影响?

如果您正在使用Cost Calculator Builder WordPress插件,并且版本小于等于4.0.1,那么您可能受到此漏洞的影响。特别是如果您同时使用了Cost Calculator Builder PRO。

如何修复CVE-2025-14755 in Cost Calculator Builder WordPress插件?

升级至Cost Calculator Builder WordPress插件4.0.2版本或更高版本可以修复此漏洞。如果升级导致问题,可以考虑回滚,但请注意风险。

CVE-2025-14755是否正在被积极利用?

目前尚无公开的漏洞利用代码,但由于该漏洞已发布到NVD,建议密切关注安全社区的动态。

在哪里可以找到Cost Calculator Builder官方针对CVE-2025-14755的公告?

请访问Cost Calculator Builder的官方网站或WordPress插件目录,查找有关CVE-2025-14755的官方公告和更新。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描
live免费扫描

立即扫描您的WordPress项目 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...