CVE-2025-12362: myCred WordPress插件中的CWE-862授权缺失漏洞

严重性： 中等 类型： 漏洞 CVE编号： CVE-2025-12362

漏洞描述

适用于WordPress的myCred——用于游戏化、排名、徽章和忠诚度计划的积分管理系统插件，在2.9.7及之前的所有版本中存在“授权缺失”漏洞。这是由于插件未能正确验证用户是否有权执行特定操作所致。这使得未经身份验证的攻击者能够通过cashcred_pay_now AJAX操作来批准提现请求、修改用户积分余额以及操纵支付处理系统。

技术摘要

WordPress中广泛用于管理积分、游戏化、排名、徽章和忠诚度计划的myCred插件，存在一个被标识为CVE-2025-12362的漏洞。此漏洞归类于CWE-862（授权缺失），影响2.9.7及之前的所有版本。根本原因是插件未能正确验证用户是否有权执行某些敏感操作。具体而言，cashcred_pay_now AJAX操作未强制执行授权检查，允许未经身份验证的攻击者批准提现请求、更改用户积分余额以及操纵支付处理工作流。这可能导致未经授权的金融交易或欺诈性积分兑换。该漏洞可被远程利用，且无需任何身份验证或用户交互，从而增加了其风险状况。CVSS v3.1基础评分为5.3（中等严重性），反映了其对机密性和可用性无影响，但对完整性有重大影响。目前尚无补丁或已知漏洞利用被报告，但该漏洞的性质使其成为旨在攻击与WordPress站点集成的忠诚度或支付系统的攻击者的目标。依赖myCred进行客户互动或财务激励的组织应将其视为优先漏洞。

潜在影响

对于欧洲组织，影响主要涉及通过myCred插件集成的忠诚度和支付系统的完整性。对积分余额和提现批准的未授权操纵可能导致财务损失、欺诈和声誉损害。电子商务平台、会员站点以及使用游戏化来推动客户互动的企业尤其面临风险。该漏洞可能被利用来欺诈性兑换积分或提取资金，破坏平台信任，并且如果客户数据或交易受到间接影响，还可能在GDPR下引发监管审查。虽然可用性和机密性未受到直接影响，但完整性破坏所带来的财务和运营后果可能是重大的。对于交易量大的组织或在忠诚度计划对客户保留至关重要的竞争市场中运营的组织，风险更高。

缓解建议

1. 在补丁可用之前，立即通过实施服务器端访问控制（例如IP白名单或要求身份验证令牌）来限制对cashcred_pay_now AJAX端点的访问。
2. 监控与积分提现或余额变更相关的异常活动日志，并针对异常模式设置警报。
3. 如果非必需，请禁用或限制myCred插件的提现和支付功能的使用。
4. 应用最小权限原则，确保只有授权角色才能发起提现请求或修改积分。
5. 与插件供应商或社区联系，以便在安全补丁发布后立即获取并应用。
6. 对WordPress安装中的所有AJAX端点进行安全审计，以验证是否存在适当的授权检查。
7. 教育站点管理员有关风险的知识，并鼓励定期更新插件和主题以减少暴露于类似漏洞的可能性。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

技术详情

• 数据版本： 5.2
• 分配者简称： Wordfence
• 保留日期： 2025-10-27T17:02:30.340Z
• Cvss版本： 3.1
• 状态： 已发布