CVE-2026-2931WordPress Amelia Booking插件(专业版)在9.1.2及之前版本中存在不安全的直接对象引用(IDOR)漏洞。由于插件提供了用户控制的访问对象权限,攻击者可以绕过授权机制访问系统资源。这使得拥有客户级别及以上权限的认证攻击者能够修改用户密码,并潜在地接管管理员账户,从而完全控制受影响的WordPress站点。
该漏洞的根本原因在于插件缺乏有效的访问控制验证。在处理用户更新请求时(例如通过UpdateCustomerController.php),应用程序直接信任了用户输入的参数来标识要操作的对象ID,而未对当前操作者是否拥有该对象的操作权限进行严格校验。攻击者只需一个低权限账户(如客户账户),通过截获或构造特定的API请求,将目标用户ID修改为管理员的ID,即可绕过权限检查。当服务器接收到请求后,会执行更新逻辑,允许攻击者重置目标账户的密码或修改关键信息。这种IDOR漏洞通常发生在REST API或AJAX请求处理逻辑中,导致水平或垂直权限提升。