CVE-2025-12639wModes插件是WordPress的一个目录模式、产品定价、询价表单和促销插件。该插件在1.2.2及之前版本中存在严重的授权绕过漏洞。漏洞源于插件的AJAX端点未正确验证用户是否具有访问敏感信息的权限。攻击者只需拥有订阅者级别(subscriber-level)的账户即可利用此漏洞,获取包括用户邮箱、用户名、用户角色、能力权限等敏感信息,以及WooCommerce相关数据如产品和支付方式。此漏洞影响所有使用该插件的WordPress网站,CVSS评分4.3属于中等严重程度,主要风险在于敏感数据的未授权访问。
该漏洞属于WordPress插件常见的权限验证缺陷。wModes插件的AJAX处理程序(位于class.reon.core.ajax.php)在处理请求时未实施充分的权限检查。具体问题在于:1) 插件的AJAX端点缺乏适当的 capability 检查或 nonce 验证;2) 允许低权限用户(如subscriber角色)访问本应仅限管理员或其他高权限角色访问的数据;3) 响应数据中包含用户敏感信息和WooCommerce商业数据。攻击者可通过构造特定的AJAX请求,利用已认证的订阅者账户获取上述敏感信息。漏洞在1.2.1版本的class.reon.core.ajax.php文件的多个位置(第12、29、165行等)存在权限验证缺陷。