CVE-2025-66114 CVSS 5.3 中危

CVE-2025-66114 WordPress WooCommerce插件访问控制漏洞

披露日期: 2025-11-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-66114

漏洞类型

缺少授权/访问控制失效

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Show Variations as Single Products Woocommerce (woo-show-single-variations-shop-category)

漏洞概述

这是一个WordPress插件中的高危访问控制漏洞，影响Show Variations as Single Products Woocommerce插件版本2.0及以下。攻击者可以在无需认证的情况下利用此漏洞，可能导致权限升级或敏感信息泄露。

技术细节

该漏洞源于插件未正确实施访问控制检查，允许未经授权的用户执行本应受保护的操作。攻击者可通过构造特定请求来绕过权限验证，访问或修改原本需要更高级别权限才能访问的功能。

攻击链分析

STEP 1

步骤1

识别目标WordPress站点是否使用受影响的插件版本

STEP 2

步骤2

构造绕过访问控制的恶意请求

STEP 3

步骤3

执行未授权操作

STEP 4

步骤4

获取敏感信息或提升权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

需要提供实际的漏洞利用代码示例

影响范围

Show Variations as Single Product Woocommerce <= 2.0

防御指南

临时缓解措施

立即升级到插件的最新补丁版本，如果无法立即升级，应禁用该插件并寻找替代方案

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表