CVE-2026-4654WordPress插件Awesome Support在6.3.7及之前版本中存在不安全的直接对象引用(IDOR)漏洞。该漏洞源于`wpas_get_ticket_replies_ajax()`函数未对当前用户是否有权限访问特定票据进行验证。因此,经过身份验证的攻击者(仅需订阅者级别权限)即可通过操纵请求中的`ticket_id`参数,访问系统中所有支持工单的敏感信息,造成严重的数据泄露风险。
该漏洞的技术核心在于WordPress插件后端对AJAX请求处理中的访问控制失效。漏洞触发点位于`wpas_get_ticket_replies_ajax()`函数,该函数旨在通过AJAX返回指定工单的回复内容。然而,代码逻辑仅检查了用户是否已登录,却遗漏了关键的一步:验证请求中的`ticket_id`参数所对应的工单是否归属于当前登录用户。攻击者利用这一逻辑漏洞,首先在目标站点注册一个低权限账号(如订阅者),获取有效的认证Cookie。随后,攻击者向`admin-ajax.php`发送带有特定Action(如`wpas_get_ticket_replies`)和恶意构造的`ticket_id`的POST请求。由于缺乏所有权校验,服务器会直接返回目标ID的工单详情。这使得攻击者能够以极低成本遍历工单ID,批量窃取系统内所有敏感的支持数据,严重破坏了数据的机密性。