CVE-2025-13440: Premmerce WooCommerce 心愿单插件中的授权缺失漏洞

严重性：中 类型：漏洞

CVE-2025-13440

适用于 WordPress 的 Premmerce WooCommerce 心愿单插件在 1.1.10 及之前的所有版本中都存在“授权缺失”漏洞。这是由于 deleteWishlist() 函数缺少权限检查所致。这使得拥有订阅者（Subscriber）及以上权限的认证攻击者能够删除任意心愿单。

AI 分析

技术总结

CVE-2025-13440 标识了 WordPress 的 Premmerce WooCommerce 心愿单插件中存在一个授权缺失漏洞（CWE-862），影响 1.1.10 及之前的所有版本。该漏洞源于负责删除心愿单条目的 deleteWishlist() 函数内部缺少权限检查。此缺陷允许任何至少拥有订阅者权限的认证用户调用此函数并删除属于其他用户的任意心愿单。由于订阅者权限通常授予 WordPress 站点的注册用户，攻击面相对较广。该漏洞不需要订阅者以上的提升权限，也不需要用户交互，使得认证用户可以轻松利用。影响仅限于完整性，因为攻击者可以删除心愿单数据，但无法访问机密信息或破坏网站可用性。CVSS v3.1 评分为 5.3，反映了中等严重性，这是考虑到利用的容易程度和有限的影响范围。目前没有补丁或已知漏洞利用的报道，但该漏洞已公开披露，应及时处理。此缺陷与使用 WooCommerce 和 Premmerce 心愿单插件的电子商务网站尤其相关，因为心愿单对于客户参与和销售策略很有价值。攻击者可能通过删除心愿单来破坏客户体验，可能导致声誉损害和销售损失。

潜在影响

对于运营基于 WooCommerce 的电子商务平台的欧洲组织，此漏洞可能导致客户心愿单被未经授权删除，破坏客户信任并可能降低销售转化率。虽然它不会暴露敏感个人数据或导致服务中断，但完整性受损会影响用户体验和品牌声誉。依赖心愿单进行营销和客户保留的零售商可能会发现这些功能的效力减弱。此外，拥有订阅者权限的攻击者可能利用此缺陷针对特定用户或通过删除其心愿单进行骚扰。在电子商务渗透率高和 WooCommerce 使用广泛的国家，影响更为显著，因为心愿单等客户参与工具是业务运营不可或缺的一部分。如果心愿单被恶意操纵，组织可能面临支持成本增加和客户不满。尽管目前尚无已知的漏洞利用，但公开披露增加了利用尝试的风险，尤其是来自内部人员或受损账户。

缓解建议

由于目前没有官方补丁，欧洲组织应立即实施补偿性控制措施。这些措施包括：

1. 仅限受信任用户注册订阅者级别用户，以最小化恶意内部人员或受损账户的风险；
2. 应用自定义代码或插件来强制执行 deleteWishlist() 函数的权限检查，确保只有授权角色（例如，管理员或店铺经理）可以删除心愿单；
3. 监控日志中不寻常的心愿单删除活动，以检测潜在的利用；
4. 教育站点管理员定期审查用户角色和权限；
5. 保持 WordPress 核心、WooCommerce 和所有插件为最新版本，以减少攻击面；
6. 准备在 Premmerce 发布后及时应用官方补丁或更新；
7. 如果风险在修复应用前不可接受，考虑临时禁用心愿单功能。这些针对性措施超越了通用建议，侧重于针对此漏洞的特定角色管理和函数级授权强制执行。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

来源： CVE 数据库 V5 发布日期： 2025年12月12日，星期五