CVE-2026-3138WordPress插件Product Filter for WooCommerce by WBW在3.1.2及之前版本存在安全漏洞。由于插件MVC框架在动态注册未认证AJAX处理程序时未检查用户权限,且基础控制器的权限验证逻辑默认返回true,导致未经身份验证的攻击者可发送特制请求截断数据库表,造成所有筛选配置永久丢失。
该漏洞的核心在于插件MVC框架的权限验证机制存在缺陷。插件通过`wp_ajax_nopriv_`钩子动态注册了允许未认证用户访问的AJAX处理程序。当请求到达时,基础控制器的`__call()`魔术方法会将未定义的方法调用直接转发给模型层。关键问题在于`havePermissions()`方法,当模型中没有明确定义特定方法的权限要求时,该方法默认返回`true`。攻击者利用这一逻辑漏洞,向`/wp-admin/admin-ajax.php`发送包含`action=delete`的POST请求。由于未进行权限校验,系统将执行删除操作,直接清空`wp_wpf_filters`数据表,导致数据被永久破坏。