CVE-2026-25396该漏洞是由于CoderPress开发的Commerce Coinbase For WooCommerce插件在权限校验方面存在缺陷。在受影响的版本中,特定的功能接口未实施适当的授权检查,导致未经身份验证的攻击者可以直接调用这些敏感接口。攻击者无需用户交互即可利用此漏洞,从而篡改系统数据,对完整性造成严重影响。此问题主要影响1.6.6及以下版本,建议管理员尽快检查并更新插件以防止潜在攻击。
该漏洞属于典型的访问控制失效(Broken Access Control)问题。在WordPress生态系统中,插件通常注册AJAX处理程序或REST API端点来处理前端请求。正常情况下,这些处理程序应包含current_user_can()等检查,以验证请求者是否具备特定权限(如管理员权限)。然而,在Commerce Coinbase For WooCommerce插件1.6.6及之前的版本中,开发人员遗漏了此类关键检查。攻击者可以通过构造特定的HTTP请求(如POST或GET请求)指向存在漏洞的端点,利用wp_ajax或wp_rest动作钩子。由于CVSS向量显示PR:N(无需认证),攻击者无需登录WordPress后台即可发送恶意请求。成功利用后,攻击者可能篡改插件的配置参数(如支付网关设置),修改订单状态,或执行其他本应仅限于管理员的高危操作,导致业务逻辑混乱或资金损失。