CVE-2025-11518CVE-2025-11518是WordPress的WPC Smart Wishlist for WooCommerce插件中存在的一个不安全直接对象引用(IDOR)漏洞。该插件允许WooCommerce用户创建和管理商品心愿单(Wishlist),并支持心愿单共享功能。漏洞存在于所有5.0.3及以下版本中,涉及多个心愿单相关的AJAX函数。由于插件在处理用户控制的密钥(key)时缺少充分的验证,攻击者可以利用该漏洞对其他用户的心愿单进行未授权操作。
该漏洞的CVSS 3.1评分为5.3,属于中危级别。其攻击向量为网络(AV:N),攻击复杂度低(AC:L),无需认证(PR:N),无需用户交互(UI:N)。在影响方面,该漏洞对机密性影响为低(C:L),对完整性影响为低(I:L),对可用性无影响(A:N)。这意味着漏洞主要影响数据的完整性和机密性,可能导致用户心愿单数据被篡改或泄露。
该漏洞由WordPress安全公司Wordfence的安全研究员发现并报告,披露日期为2025年10月11日。由于该漏洞无需认证即可利用,且涉及共享心愿单功能的密钥,因此对使用该插件的电商网站构成了潜在的安全威胁。
该漏洞的核心问题在于WPC Smart Wishlist插件的AJAX端点在处理心愿单操作时,未对用户控制的标识密钥进行充分的授权验证。具体而言,当用户共享心愿单时,系统会生成一个用于访问该心愿单的密钥(key),而该密钥在后续的AJAX请求中被用作身份验证标识。
漏洞利用的技术原理如下:插件提供了多个AJAX函数用于心愿单操作(如添加商品、删除商品、清空心愿单等),这些函数接受用户提供的wishlist key作为参数。在正常流程中,只有拥有合法wishlist key的用户才能对相应的心愿单进行操作。然而,由于缺少对key所有权的验证,攻击者只要获取到任意有效的wishlist key(无论是通过共享链接泄露、猜测还是其他途径),就可以通过构造AJAX请求来操纵该心愿单,包括向其中添加任意商品或清空整个心愿单。
攻击者无需任何认证即可利用此漏洞,只需向插件的AJAX端点发送包含目标wishlist key的恶意请求即可。攻击成功后,攻击者可以修改其他用户的心愿单内容,影响用户的购物体验,甚至可能被用于社会工程学攻击(例如向受害者心愿单中添加恶意商品链接)。