CVE-2026-9857CVE-2026-9857是WordPress Invoice123插件(插件slug为saskaita123-lt)中存在的一个授权绕过漏洞。该漏洞影响所有1.7.0及以下版本,由Wordfence安全团队的研究员发现并报告。该漏洞的根本原因在于插件未能正确验证用户是否具有执行特定操作的权限(缺少或存在缺陷的权限检查机制),导致任何具有订阅者(subscriber)级别访问权限及以上的已认证攻击者都能够执行本应仅限管理员的操作。
具体而言,利用该漏洞,攻击者可以覆盖存储在wp_options表中的插件API密钥,修改发票插件的相关设置,以及更改WooCommerce的税率数据(存储于wp_woocommerce_tax_rates表中)。这些操作虽然不会直接导致代码执行或数据泄露,但会对网站的数据完整性和商业运营造成实质性损害,例如篡改税率可能导致价格计算错误,修改API密钥可能导致合法发票服务中断或被重定向到攻击者控制的服务器。
该漏洞的CVSS 3.1评分为4.3分,属于中危级别。其攻击向量为网络(AV:N),攻击复杂度低(AC:L),但需要低权限认证(PR:L),无需用户交互(UI:N)。对机密性无影响(C:N),对完整性有低影响(I:L),对可用性无影响(A:N)。该漏洞已于2026年7月10日公开披露,建议使用该插件的WordPress网站管理员尽快更新到修复版本。
该漏洞属于典型的权限提升/授权绕过类漏洞,位于Invoice123插件的多个管理页面文件中,包括S123_ApiKey.php、S123_InvoiceSettings.php等核心文件。
从技术原理上看,WordPress插件通常通过current_user_can()函数或自定义的capability检查来验证用户是否有权限执行特定管理操作。然而,Invoice123插件在处理API密钥更新、发票设置修改和税率数据变更等关键操作的代码路径中,未能实施充分的权限验证或完全缺失了权限检查环节。攻击者只需拥有订阅者级别的账户(WordPress中最低的注册用户角色),即可通过直接向相关管理页面发送HTTP请求(如POST请求)来执行这些敏感操作。
利用方式方面,攻击者首先需要在目标WordPress站点上拥有一个订阅者或更高级别的账户(可通过注册获取)。然后,攻击者构造针对S123_ApiKey.php或S123_InvoiceSettings.php等页面的请求,携带恶意参数(如新的API密钥值或修改后的税率数据),由于服务器端未进行有效的权限校验,请求将被正常处理并更新数据库中的对应记录。攻击者可借此覆盖合法API密钥(可能导致发票服务被劫持)、篡改发票设置(影响财务数据准确性)或修改税率(影响商品定价)。
该漏洞的利用复杂度较低,不需要特殊工具或高级技术,但需要有效的认证凭据,属于已认证的权限绕过攻击。