CVE-2025-15635ZAYTECH Smart Online Order for Clover插件存在跨站请求伪造(CSRF)漏洞。该漏洞影响1.6.0及以下版本。由于缺乏有效的CSRF令牌验证,攻击者可诱骗已认证用户执行非预期操作,篡改系统设置或数据。此风险无需复杂交互即可触发,建议管理员及时更新插件至最新版本以消除隐患。
该漏洞源于Smart Online Order for Clover插件在处理敏感请求时未实施有效的跨站请求伪造(CSRF)防护机制。具体而言,插件的后台管理接口在处理状态变更或配置修改请求时,缺少必要的Nonce(一次性随机数)验证或严格的请求来源检查。攻击者可利用这一缺陷,构造一个恶意的HTML页面,其中包含自动提交的表单或JavaScript请求,指向目标WordPress站点的后台操作URL。当拥有管理权限的受害者在浏览器保持登录状态的情况下访问此恶意页面时,浏览器会自动携带受害者的会话Cookie发送请求。由于服务器端无法区分请求是由用户主动发起还是由第三方站点伪造,攻击者即可利用受害者的身份权限执行如修改插件设置、篡改订单信息等未授权操作。攻击成功后,主要影响系统的完整性(I:L),而机密性和可用性暂未受影响。