CVE-2026-3460WordPress插件REST API TO MiniProgram在5.1.2及以下版本中存在不安全的直接对象引用(IDOR)漏洞。漏洞原因在于权限回调函数仅验证'openid'参数的有效性,而更新函数却使用单独的'userid'参数来修改数据。由于缺乏对这两个参数归属同一用户的验证,攻击者可以利用此漏洞,无需认证或仅凭低权限,通过REST API修改任意用户的商店元数据,如storeinfo、storeappid和storename,从而影响系统完整性。
该漏洞的核心在于WordPress插件“REST API TO MiniProgram”中REST API端点的权限验证逻辑存在缺陷。在处理用户微信商店信息更新请求时,插件首先调用`update_user_wechatshop_info_permissions_check`函数,该函数仅检查请求中提供的'openid'是否存在于WordPress用户表中,以此作为权限通过的依据。然而,随后执行实际更新操作的`update_user_wechatshop_info`函数,却忽略了用于权限验证的'openid',转而直接使用请求体中的'userid'参数来确定要更新元数据的目标用户。由于程序代码中没有任何逻辑来验证'openid'和'userid'是否属于同一个账户,攻击者可以构造一个包含合法'openid'(或利用无需认证的缺陷)和任意目标'userid'的恶意请求。这使得攻击者能够绕过身份识别机制,篡改任意用户的敏感商店信息(如店铺ID、店铺名称等),破坏数据的完整性和可信度。