CVE-2025-54004: WCFM插件授权缺失漏洞

披露日期: 2025-12-16

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-54004

漏洞类型

授权缺失

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WCFM – Frontend Manager for WooCommerce

漏洞概述

这是WordPress插件WCFM中存在的一个授权缺失漏洞，允许具有高权限的攻击者利用错误配置的访问控制安全级别进行未授权操作。CVSS评分为2.7，属于低危漏洞。该漏洞存在于插件的访问控制机制中，攻击者需要具备高权限账号才能利用此漏洞。

技术细节

漏洞源于WCFM插件在处理某些敏感操作时缺少适当的权限检查。攻击者通过构造特定请求，利用插件中不当配置的访问控制安全级别，在拥有高权限的情况下执行本应受限的操作。攻击者需要身份认证为高权限用户，并通过网络发送恶意请求来触发漏洞。

攻击链分析

STEP 1

步骤1

攻击者获取高权限账号

STEP 2

步骤2

构造恶意请求利用访问控制缺陷

STEP 3

步骤3

执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

由于未提供具体PoC，需要根据漏洞特征生成示例代码

影响范围

WCFM插件 <= 6.7.24

防御指南

临时缓解措施

建议立即升级插件并审查访问控制配置

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表