WordPress插件高危漏洞详解:CVE-2025-13773代码注入风险

本文详细分析了WooCommerce打印发票与送货单插件中的一个关键远程代码执行漏洞(CVE-2025-13773)。该漏洞源于权限检查缺失、Dompdf中启用了PHP以及模板文件缺乏转义,允许未经认证的攻击者在服务器上执行任意代码,影响所有5.8.0及之前版本。

CVE-2025-13773: tychesoftwares的WooCommerce打印发票与送货单插件中的CWE-94代码生成不当控制(‘代码注入’)

严重性: 严重 类型: 漏洞

CVE-2025-13773

WordPress的Print Invoice & Delivery Notes for WooCommerce插件在所有版本(包括5.8.0及之前版本)中,通过WooCommerce_Delivery_Notes::update函数,存在远程代码执行漏洞。这是由于WooCommerce_Delivery_Notes::update函数中缺少能力检查、Dompdf中启用了PHP,以及template.php文件中缺少转义所致。这使得未经认证的攻击者有可能在服务器上执行代码。

来源: CVE数据库 V5 发布日期: 2025年12月24日,星期三

CVE-2025-13773: CWE-94 代码生成不当控制(‘代码注入’)

▲0 ▼ 星标 严重 漏洞 CVE-2025-13773 cve cve-2025-13773 cwe-94

发布日期: 2025年12月24日,星期三 (2025年12月24日,04:32:56 UTC) 来源: CVE数据库 V5 供应商/项目: tychesoftwares 产品: Print Invoice & Delivery Notes for WooCommerce

描述 WordPress的Print Invoice & Delivery Notes for WooCommerce插件在所有版本(包括5.8.0及之前版本)中,通过WooCommerce_Delivery_Notes::update函数,存在远程代码执行漏洞。这是由于WooCommerce_Delivery_Notes::update函数中缺少能力检查、Dompdf中启用了PHP,以及template.php文件中缺少转义所致。这使得未经认证的攻击者有可能在服务器上执行代码。

技术细节

  • 数据版本: 5.2
  • 分配者简称: Wordfence
  • 日期预留: 2025-11-28T05:56:13.257Z
  • Cvss 版本: 3.1
  • 状态: 已发布

威胁 ID: 694b6fe5ce42f4d6d986e053 添加到数据库: 2025年12月24日,上午4:45:25 最后更新: 2025年12月24日,上午4:45:48 浏览量: 1

社区评论 0 条评论 众包缓解策略,分享情报背景,并对最有帮助的回复进行投票。登录以发表您的意见,帮助防御者保持领先。

排序方式: 热门 最新 最旧 撰写评论

社区提示 ▼ 正在加载社区见解… 想要贡献缓解步骤或威胁情报背景?请登录或创建帐户以加入社区讨论。

相关威胁

  • CVE-2025-68695 - 低 - 漏洞 - 2025年12月24日,星期三
  • CVE-2025-68694 - 低 - 漏洞 - 2025年12月24日,星期三
  • CVE-2025-68693 - 低 - 漏洞 - 2025年12月24日,星期三
  • CVE-2025-68692 - 低 - 漏洞 - 2025年12月24日,星期三
  • CVE-2025-68691 - 低 - 漏洞 - 2025年12月24日,星期三

操作

  • 使用AI分析 请登录控制台以使用AI分析功能。

分享

外部链接

  • NVD 数据库
  • MITRE CVE
  • 参考 1
  • 参考 2
  • 参考 3
  • 参考 4
  • 参考 5
  • 参考 6
  • 参考 7
  • 在 Google 上搜索

需要增强功能?请联系 root@offseq.com 获取专业版访问权限,享受改进的分析和更高的速率限制。

最新威胁 安全团队需要的实时情报,以看清下一步重要事项。

SEQ SIA 注册号 40203410806 Lastadijas 12 k-3, Riga, Latvia, LV-1050 价格包含增值税 (21%)

支持 radar@offseq.com +371 2256 5353

平台

  • 仪表板
  • 威胁
  • 威胁地图
  • 信息源
  • API 文档
  • 帐户控制台

支持 OffSeq.com

  • 职业发展
  • 服务
  • 联系
  • 周一至周五,09:00–18:00 (EET)
  • 3个工作日内回复

政策与支付

  • § 条款与条件 ↗
  • 交付条款 ↺
  • 退货与退款
  • 🔒 隐私政策

接受的支付方式 卡支付由 EveryPay 安全处理。

  • Twitter
  • Mastodon
  • GitHub
  • Bluesky
  • LinkedIn

键盘快捷键 导航

  • 转到首页 g h
  • 转到威胁 g t
  • 转到地图 g m
  • 转到信息源 g f
  • 转到控制台 g c

搜索与筛选

  • 聚焦搜索 / 切换筛选器 f
  • 选择“所有时间”筛选器 a
  • 清除所有筛选器 c l
  • 刷新数据 r

UI 控制

  • 切换深色/浅色主题 t
  • 显示键盘快捷键 ?
  • 清除焦点/关闭模态窗口 Escape

辅助功能

  • 导航到下一个项目 j
  • 导航到上一个项目 k
  • 激活所选项目 Enter

提示:随时按 ? 键切换此帮助面板。像 g h 这样的多键快捷键应按顺序按下。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次