CVE-2026-9702CVE-2026-9702是InPost PL WordPress插件中存在的一个高危安全漏洞。该插件是波兰广泛使用的快递柜(Parcel Locker)集成插件,与WooCommerce电子商务平台深度集成,允许买家在结账时选择InPost快递柜作为配送目的地。该漏洞由WPScan团队([email protected])发现并于2026年6月25日公开披露,CVSS评分为7.5,属于高危级别。漏洞的根本原因在于插件在处理WooCommerce订单快递柜配送目的地更新请求时,未对请求来源进行充分的身份验证。攻击者无需任何认证凭据,即可通过网络向目标站点发送恶意请求,静默修改任意处于pending(待处理)或processing(处理中)状态的订单的快递柜配送目的地。此漏洞的危害在于:攻击者可以将合法买家的订单配送地址篡改为攻击者控制的快递柜,从而实施包裹窃取。同时,由于修改过程对买家和商家均不可见(silent redirect),买家在不知情的情况下完成支付后,包裹将被送往错误的快递柜,给用户和商家均带来严重的经济损失和信任危机。该漏洞影响所有使用InPost PL插件版本低于1.9.1的WordPress+WooCommerce站点。
该漏洞的技术原理在于InPost PL插件中的AJAX端点或REST API端点缺少CSRF(跨站请求伪造)令牌验证和身份认证机制。具体而言,当买家在WooCommerce结账页面选择InPost快递柜作为配送方式时,前端JavaScript会通过AJAX请求将所选快递柜编号发送到服务器端进行保存。插件开发者未在该端点中实施以下关键安全措施:1)未验证请求是否来自已登录的合法用户会话;2)未验证请求是否与当前订单关联;3)未实施nonce验证机制来防止CSRF攻击;4)未检查请求来源的Referer头。攻击者利用方式如下:攻击者首先需要获取目标站点上处于pending或processing状态的订单ID(可通过其他信息泄露渠道或暴力枚举获得),然后构造一个包含目标订单ID和攻击者控制的InPost快递柜编号的HTTP POST请求,直接发送到插件的更新端点。由于端点完全开放且无需认证,服务器将直接处理该请求并更新订单的parcel_locker字段。攻击者可以编写自动化脚本批量扫描WooCommerce站点并修改所有活跃订单的配送目的地。值得注意的是,该漏洞的CVSS向量中机密性影响为低(C:L),这是因为虽然修改了订单数据,但并未直接泄露敏感信息;完整性影响为高(I:H),因为订单数据被未授权篡改;可用性影响为无(A:N),因为服务本身并未中断。