CVE-2025-13452WordPress插件"Admin and Customer Messages After Order for WooCommerce: OrderConvo"存在严重的安全授权缺陷漏洞。该插件用于在WooCommerce订单系统中管理管理员和客户之间的消息通信。漏洞根源在于插件的REST API权限回调函数存在逻辑错误,当请求中未提供nonce令牌时,权限检查会错误地返回true,导致任何未认证的攻击者都可以直接访问敏感的REST API端点。攻击者可利用此漏洞冒充任意WordPress用户(包括管理员),向任何WooCommerce订单会话中注入任意消息内容。这种缺陷可能被用于钓鱼攻击、社会工程攻击,或者在某些场景下传播恶意链接,进一步危害网站用户安全。由于该插件在WordPress生态中广泛应用,此漏洞影响面较大,建议所有使用该插件的用户立即采取防护措施。
漏洞存在于插件的wprest.class.php文件中的REST API权限回调函数。具体问题在于第56行和第113行的权限检查逻辑存在缺陷。当WordPress REST API收到请求时,系统会调用权限回调函数(permission_callback)来验证请求者是否具有执行操作的权限。正常情况下,该回调应该验证用户是否已登录、是否具有相应权限,或者检查nonce令牌的有效性。然而,该插件的权限回调实现中,当检测到请求中不存在nonce参数时,函数直接返回true(允许访问),而没有进一步验证用户的身份。这意味着即使攻击者完全没有登录,也可以直接向REST API端点发送POST请求,通过在请求参数中指定user_id、order_id和context等参数,冒充任意用户执行消息发送操作。攻击者只需构造一个包含目标订单ID、目标用户ID和消息内容的HTTP POST请求,即可将伪造的消息注入到目标订单的对话中。由于WordPress的REST API默认通过/api/v2/或/wp-json/路径暴露,攻击者可以轻易发现和定位这些端点。