CVE-2026-3594WordPress Riaxe Product Customizer插件在所有版本(包括2.4版)中存在敏感信息泄露漏洞。由于'/wp-json/InkXEProductDesignerLite/orders' REST API端点未设置有效的权限检查,导致未经身份验证的攻击者可直接访问该接口。攻击者可利用此漏洞从数据库中获取WooCommerce商店的敏感订单数据,包括客户姓名、ID、订单详情、金额及日期等,造成严重的数据泄露风险。
该漏洞源于插件在注册REST API路由时的权限配置失误。具体代码中,端点'/wp-json/InkXEProductDesignerLite/orders'将'permission_callback'参数硬编码为'__return_true',这导致WordPress系统在处理请求时完全跳过身份验证和授权机制。正常情况下,访问订单数据需要管理员或经过授权的用户权限,但此配置允许任何匿名用户发起请求。后端代码直接查询WooCommerce的订单表,检索包括客户姓名、ID、订单金额、日期及货币等敏感字段,并以JSON格式返回给请求者。由于缺乏访问控制,攻击者可通过简单的HTTP GET请求批量遍历并窃取平台的订单记录。