CVE-2026-39488SureCart WordPress插件中存在一个严重的缺失授权漏洞,编号为CVE-2026-39488。该漏洞源于插件未能正确配置访问控制安全级别,导致攻击者可以利用错误配置的权限进行攻击。受影响的版本范围是从n/a到4.0.2。由于该漏洞的存在,经过身份验证的低权限攻击者可能绕过安全检查,访问本应受限的敏感信息。此漏洞的CVSS v3.1评分为6.5,属于中危级别,主要威胁数据的机密性。攻击者无需用户交互即可通过网络发起攻击,这对使用该插件的WordPress网站构成了潜在的安全风险,管理员应予以高度重视。
该漏洞属于典型的访问控制缺失问题(CWE-862)。在SureCart插件的代码逻辑中,某些处理敏感数据请求的API端点或函数仅检查了用户是否登录,而未验证当前用户角色是否具备执行该操作的特定权限。攻击者首先需要在目标WordPress站点注册一个低权限账户(如订阅者)。随后,攻击者可以利用该账户的登录Cookie,向WordPress的`admin-ajax.php`或REST API端点发送特制的HTTP请求。由于缺乏必要的权限校验,服务器会处理该请求并返回受保护的敏感数据,例如其他用户的订单信息或系统配置。这种漏洞利用方式不需要复杂的用户交互,且利用难度较低,一旦成功,将直接导致高价值数据的泄露。