平台
wordpress
组件
wc-frontend-manager
修复版本
6.7.26
CVE-2026-4896 是 WCFM - WooCommerce Frontend Manager 插件中的一个不安全直接对象引用 (IDOR) 漏洞。该漏洞允许经过身份验证的攻击者(具有 Vendor 级别或更高级别的访问权限)修改任何订单的状态,删除或修改任何文章/产品/页面,而无需考虑所有权。此漏洞影响 0–6.7.25 版本,已在 6.7.26 版本中修复。
CVE-2026-4896 影响 WCFM – Frontend Manager for WooCommerce 插件和 Bookings Subscription Listings Compatible 插件。这是一种不安全的直接对象引用 (IDOR) 漏洞。具有供应商级别访问权限的经过身份验证的攻击者可能无需适当授权即可潜在地操纵或删除敏感数据,例如订单、文章和产品。该漏洞源于在多个 AJAX 操作(包括 wcfmmodifyorderstatus、deletewcfmarticle、deletewcfm_product 和文章管理控制器)中对用户提供的对象 ID 的适当验证不足。这使得攻击者在以供应商身份进行身份验证后,能够访问和修改他们无权访问的资源,从而危及 WooCommerce 商店数据的完整性和保密性。
具有 WCFM 的 WordPress 站点供应商级别访问权限的攻击者可以利用此漏洞。攻击者可能例如,修改他们不拥有的订单的状态,删除他们未创建的文章或产品,或者通过文章管理控制器访问敏感信息。利用需要身份验证,但不需要管理员权限。利用的简易性与 WCFM 插件的流行程度相结合,使此漏洞成为 WooCommerce 站点的重要风险。
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
此漏洞的解决方案是将 WCFM – Frontend Manager for WooCommerce 插件更新到 6.7.26 或更高版本。此更新包含必要的修复程序,以正确验证用户提供的对象 ID,从而降低被利用的风险。强烈建议使用 WCFM 的 WordPress 站点管理员尽快更新插件,以保护其 WooCommerce 商店免受潜在攻击。此外,请审查用户权限,并确保“供应商”角色对可能被利用的功能的访问受到限制。监控服务器日志以查找可疑活动也有助于检测和响应潜在的利用尝试。
更新到版本 6.7.26 或更新的已修补版本
漏洞分析和关键警报直接发送到您的邮箱。
IDOR 代表不安全的直接对象引用 (Insecure Direct Object Reference)。当应用程序直接使用用户提供的标识符访问内部对象,而未验证用户是否有权访问该对象时,就会发生这种情况。
在 WCFM 的上下文中,“供应商”是指能够管理 WooCommerce 商店中产品和订单的特定用户角色。
如果无法立即更新,请考虑通过防火墙规则或实施额外的访问控制来限制对易受攻击的 AJAX 函数的访问。
虽然没有针对此漏洞的特定工具,但可以使用查找 IDOR 模式的 Web 安全扫描器或执行手动安全测试。
保持 WordPress、插件和主题的最新状态,使用强密码,实施 Web 应用程序防火墙,并定期备份您的站点。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。