平台
wordpress
组件
cartasi-x-pay
修复版本
8.3.1
8.3.2
CVE-2025-15565 is a medium-severity vulnerability affecting the Nexi XPay plugin for WordPress. This flaw allows unauthenticated attackers to manipulate WooCommerce order statuses, specifically marking pending orders as paid or completed. The vulnerability exists in versions up to and including 8.3.0, and a patch is available in version 8.3.2.
CVE-2025-15565 在 WordPress 的 Nexi XPay 插件中存在一个漏洞,允许未授权的数据修改。由于重定向函数缺少授权检查,未经身份验证的攻击者可以将待处理的 WooCommerce 订单标记为已支付/已完成。这可能导致商家经济损失,因为订单将被视为已支付,而实际上并非如此。CVSS 评分是 5.3,表明存在中等风险。此漏洞影响所有版本,包括 8.3.0 及更早版本。及时更新插件对于降低此风险至关重要。
攻击者可以通过向 Nexi XPay 插件的重定向函数发送恶意请求来利用此漏洞。此请求旨在将待处理的 WooCommerce 订单的状态修改为“已支付”或“已完成”,而无需身份验证。攻击者可以使用 cURL 或自定义脚本等工具自动执行此过程。利用难度相对较低,因为它不需要高级技术技能或对 WordPress 管理面板的访问。潜在影响重大,允许攻击者操纵支付流程,并可能在不付款的情况下获得产品或服务。
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的方法是将 Nexi XPay 插件更新到 8.3.2 或更高版本。此版本包含必要的修复程序,以在重定向函数中实现缺失的授权检查。我们强烈建议尽快更新,以保护您的 WordPress 网站和数据。此外,请检查您的 WooCommerce 审核日志,是否有任何可能表明先前利用的疑可疑活动。考虑实施 Web 应用程序防火墙 (WAF),并配置规则以阻止订单操作尝试。
更新到版本8.3.2或更高版本。
漏洞分析和关键警报直接发送到您的邮箱。
这是 WordPress 的 Nexi XPay 插件中特定安全漏洞的唯一标识符。
如果您使用的是 Nexi XPay 插件的 8.3.2 之前的版本,则您的网站容易受到影响。
检查您的 WooCommerce 审核日志,更改所有用户密码,并考虑从干净的备份中恢复。
暂时禁用 Nexi XPay 插件可以作为临时解决方案,但这会影响您使用 Nexi 处理付款的能力。
您可以在 WordPress 插件存储库或 Nexi 官方网站上下载更新后的版本(8.3.2 或更高版本)。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。