CVE-2025-63029WCFM Marketplace插件存在严重的SQL注入漏洞,起因是对用户输入的特殊元素中和不当。该漏洞允许拥有高权限的攻击者通过恶意构造的SQL语句查询数据库,从而窃取敏感信息。此问题影响所有3.7.1及以下版本。鉴于该插件在WordPress多供应商市场中的普及度,此漏洞对电商平台的数据保密性构成重大风险,管理员应立即采取修复措施。
该漏洞位于WCFM Marketplace插件的数据库交互层,核心原因是未能正确中和用于SQL命令的特殊元素。在处理特定业务逻辑(如订单查询、产品检索或报表生成)时,应用程序直接将用户可控的输入参数拼接至SQL查询语句中,未使用预处理语句或严格的类型检查。根据CVSS向量分析,利用该漏洞需要具备高权限(PR:H),即攻击者通常需要先获取商家或管理员账户权限。攻击者可通过发送特制的HTTP请求(如修改AJAX参数),注入恶意SQL代码。利用成功后,可导致数据库敏感信息泄露(C:H),如用户凭证、交易记录等。尽管未赋予完整性修改权限,但由于作用域为可改变(S:C),攻击者可能利用泄露的信息横向移动。