CVE-2025-14948：cyberlord92 miniOrange OTP Verification and SMS Notification for WooCommerce 中的 CWE-862 授权缺失漏洞

严重性： 中 类型： 漏洞 CVE 编号： CVE-2025-14948

WordPress 的 miniOrange OTP 验证与 WooCommerce 短信通知插件在 4.3.8 及之前的所有版本中，由于对 enable_wc_sms_notification AJAX 操作缺少能力检查，容易受到未经授权的数据修改攻击。这使得未经身份验证的攻击者能够启用或禁用 WooCommerce 订单的短信通知设置。

AI 分析技术总结

被标识为 CVE-2025-14948 的漏洞影响了用于 WooCommerce 的 miniOrange OTP 验证与短信通知插件，这是一个流行的 WordPress 插件，用于为电子商务订单添加 OTP 验证和短信通知。根本原因在于 AJAX 操作 enable_wc_sms_notification 缺少授权（能力）检查。此 AJAX 端点旨在启用或禁用 WooCommerce 订单的短信通知。由于插件未能验证请求者是否具备必要权限，未经身份验证的攻击者可以远程调用此操作来更改短信通知设置，而无需任何身份验证或用户交互。其影响仅限于完整性，因为攻击者可以修改配置设置，可能会扰乱订单通知工作流，导致混淆或客户信任丧失。CVSS v3.1 基础评分为 5.3（中等严重性），反映了易于利用（通过网络，无需权限）但对机密性和可用性的影响有限。该漏洞影响 4.3.8 及之前的所有版本，目前尚无补丁可用。尚未在野外观察到已知漏洞利用。该漏洞归类于 CWE-862（授权缺失）。

潜在影响

对于欧洲组织，特别是那些使用搭载了 miniOrange OTP 验证与短信通知插件的 WooCommerce 运营电子商务平台的组织，此漏洞可能导致短信通知设置被未经授权的更改。这可能导致客户无法及时收到订单确认或更新，从而可能损害客户信任和满意度。虽然该漏洞不会直接暴露敏感数据或中断服务可用性，但通知设置的操纵可能间接影响业务运营和客户体验。严重依赖短信通知进行订单处理和欺诈预防的零售商可能面临运营挑战。此外，攻击者可能利用此漏洞作为更广泛攻击链的一部分，通过控制通知流来制造混乱或促进社会工程学攻击。缺乏身份验证和易于利用增加了未实施补偿控制措施的组织的风险。

缓解建议

1. 立即审核并限制对 enable_wc_sms_notification AJAX 操作的访问，通过在插件代码中或通过自定义钩子实现适当的能力检查，以确保只有授权用户才能修改短信通知设置。
2. 如果可能，暂时禁用 miniOrange OTP 验证与短信通知插件，直到发布安全补丁。
3. 监控 WooCommerce 订单通知设置的未经授权更改，并维护配置修改日志。
4. 部署 Web 应用防火墙（WAF）来检测和阻止针对此端点的可疑 AJAX 请求。
5. 保持 WordPress 核心、WooCommerce 和所有插件为最新版本，并订阅供应商安全公告以便在有补丁时及时修补。
6. 向管理用户宣传此漏洞，并鼓励对 WordPress 管理账户实施严格的访问控制。
7. 如果无法立即修补，请考虑使用具有已验证安全状况的替代 OTP 和短信通知插件。

受影响国家

英国、德国、法国、荷兰、意大利、西班牙、瑞典

技术细节

数据版本： 5.2 分配者简称： Wordfence 保留日期： 2025-12-19T04:14:38.233Z CVSS 版本： 3.1 状态： 已发布 威胁 ID： 6961fec8c540fa4b54639bbe 添加到数据库时间： 2026/1/10，上午 7:24:56 最后丰富时间： 2026/1/10，上午 7:39:14 最后更新时间： 2026/1/12，上午 1:36:33 查看次数： 43