WooCommerce邮件定制插件漏洞分析:任意选项更新风险

本文详细分析了CVE-2025-11237漏洞,该漏洞影响Make Email Customizer for WooCommerce插件1.0.6及以下版本,存在授权检查缺失和选项验证不足问题,允许订阅者级别用户修改任意WordPress选项。

CVE-2025-11237 - Make Email Customizer for WooCommerce <= 1.0.6 - 订阅者+任意选项更新漏洞

概述

漏洞描述

Make Email Customizer for WooCommerce WordPress插件1.0.6及以下版本在其AJAX操作中缺乏适当的授权检查和选项验证,允许任何经过身份验证的用户(如订阅者)更新任意WordPress选项。

基本信息

发布时间: 2025年11月11日 上午6:15
最后修改: 2025年11月11日 上午6:15
远程利用:
来源: contact@wpscan.com

受影响产品

以下产品受到CVE-2025-11237漏洞影响。即使cvefeed.io了解受影响产品的确切版本,下表中也未显示该信息。

暂无记录的受影响产品

受影响供应商总数: 0 | 产品数量: 0

解决方案

  • 更新插件至实施了适当授权和选项验证的版本
  • 验证授权检查是否正确实施
  • 确保选项验证能防止任意更新

参考资源

以下提供与CVE-2025-11237相关的深度信息、实用解决方案和有价值工具的外部链接精选列表。

URL 资源
https://wpscan.com/vulnerability/88b46752-051b-4468-9e2b-cc81a9ce1075/ 漏洞详情

漏洞时间线

新CVE接收 由contact@wpscan.com于2025年11月11日提交

操作 类型 旧值 新值
添加 描述 Make Email Customizer for WooCommerce WordPress插件1.0.6及以下版本在其AJAX操作中缺乏适当的授权检查和选项验证,允许任何经过身份验证的用户(如订阅者)更新任意WordPress选项。
添加 参考 https://wpscan.com/vulnerability/88b46752-051b-4468-9e2b-cc81a9ce1075/

漏洞评分详情

此漏洞暂无CVSS指标可用。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次