CVE-2025-60222: SUMO Memberships for WooCommerce权限提升漏洞

披露日期: 2025-10-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-60222

漏洞类型

权限提升

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FantasticPlugins SUMO Memberships for WooCommerce (sumomemberships)

该漏洞为SUMO Memberships for WooCommerce插件中的权限分配错误导致的权限提升问题。攻击者可以利用此漏洞通过低权限账户提升至管理员权限，从而完全控制WordPress站点。漏洞影响版本从初始版本到7.8.0，CVSS评分8.8，属于高危漏洞。

漏洞源于插件在权限验证时的不当实现，允许认证用户通过构造特定请求修改自身或其他用户的权限角色。攻击者可通过WordPress REST API或admin-ajax.php端点触发漏洞，无需管理员干预即可完成权限提升。

STEP 1

步骤1

攻击者以低权限用户身份登录WordPress站点

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

待补充

FantasticPlugins SUMO Memberships for WooCommerce <= 7.8.0

临时缓解措施

立即升级插件到修复版本，限制低权限用户的功能访问