CVE-2025-13457: WooCommerce Square插件中的CWE-639通过用户可控密钥的授权绕过漏洞
严重性:高 类型:漏洞
CVE-2025-13457
WordPress的WooCommerce Square插件在所有版本(包括5.1.1及之前版本)中,由于get_token_by_id函数未对用户可控密钥进行验证,存在不安全的直接对象引用漏洞。这使得未经身份验证的攻击者能够暴露任意的Square“ccof”(存档信用卡)值,并可能利用该值在目标网站上发起欺诈交易。
AI分析
技术摘要
CVE-2025-13457是一个被归类为CWE-639(通过用户可控密钥进行授权绕过)的漏洞,存在于WordPress的WooCommerce Square插件中,影响包括5.1.1在内的所有版本。问题源于get_token_by_id函数未能正确验证用户提供的密钥参数。这种验证缺失导致了不安全的直接对象引用,允许未经身份验证的攻击者检索与电子商务网站关联的任意Square存档信用卡令牌。这些令牌代表存储的支付凭证,可被利用来发起欺诈交易,而无需入侵用户账户或进行身份验证。该漏洞可通过网络远程利用,无需任何用户交互,增加了其风险状况。CVSS v3.1评分为7.5分,反映了由于敏感支付令牌暴露而导致的高机密性影响,尽管完整性和可用性未受影响。披露时未提供相关补丁,表明需要供应商采取行动。虽然尚未在野外观察到利用行为,但该漏洞的特性使其成为攻击者通过支付欺诈牟利的主要目标。该插件在全球(包括欧洲)WordPress电子商务网站中的广泛使用扩大了威胁面。检测和缓解需要对易受攻击函数的API调用进行仔细监控,并在补丁可用后仅限授权用户访问。
潜在影响
对于欧洲组织而言,此漏洞对存储支付凭证的机密性构成重大风险,可能导致未经授权的金融交易和欺诈。依赖WooCommerce Square进行支付处理的电子商务企业可能因敏感客户支付数据暴露而遭受直接财务损失、声誉损害以及GDPR下的监管处罚。无法进行身份验证或要求用户交互降低了攻击者的门槛,增加了被利用的可能性。这可能破坏客户信任,导致退款或法律责任。此外,组织可能面临支付卡行业合规审计机构更严格的审查。对于欧洲数字支付普及的高流量在线零售商和市场,影响尤为严重。该漏洞不会直接影响系统完整性或可用性,但损害了关键的机密性,破坏了存储支付方式的安全性。
缓解建议
- 监控官方WooCommerce和Square插件渠道,获取针对CVE-2025-13457的补丁,并在发布后立即应用更新。
- 在补丁可用之前,实施Web应用程序防火墙规则,以检测和阻止针对
get_token_by_id函数或包含异常密钥参数的可疑请求。 - 通过IP白名单或在可能的情况下要求身份验证来限制对插件API端点的访问,即使插件默认未强制执行。
- 对存储的支付令牌和交易日志进行彻底审计,以识别任何未经授权的访问或欺诈交易。
- 采用异常检测系统来标记异常的支付活动或令牌检索模式。
- 向开发和安全团队宣传IDOR漏洞的风险,并强制执行安全编码实践,包括对用户控制输入的严格验证。
- 如果风险超过运营需求,在部署安全版本之前,考虑暂时禁用WooCommerce Square插件。
- 与支付处理商合作监控可疑交易,并制定针对支付欺诈场景的事件响应计划。
受影响国家 德国、英国、法国、荷兰、意大利、西班牙、瑞典
来源: CVE数据库 V5 发布日期: 2026年1月10日 星期六