CVE-2025-12362: myCred WordPress插件中的授权缺失漏洞

严重性: 中危 类型: 漏洞

概述

myCred – 一款用于WordPress的积分管理系统（适用于游戏化、等级、徽章和忠诚度计划）插件，在2.9.7及之前的所有版本中，存在一个授权缺失漏洞。这是由于插件未能正确验证用户是否有权执行特定操作所致。这使得未经身份验证的攻击者能够通过cashcred_pay_now AJAX操作，批准提现请求、修改用户积分余额并操纵支付处理系统。

技术摘要

myCred插件被广泛用于管理积分、游戏化、等级、徽章和忠诚度计划。其中发现的漏洞被标识为CVE-2025-12362，归类于CWE-862（授权缺失），影响2.9.7及之前的所有版本。

根本原因在于插件未能正确验证用户是否有权执行某些敏感操作。具体来说，cashcred_pay_now AJAX操作没有强制执行授权检查，允许未经身份验证的攻击者：

• 批准提现请求
• 更改用户积分余额
• 操纵支付处理工作流

这可能导致未经授权的金融交易或欺诈性积分兑换。该漏洞可远程利用，无需任何身份验证或用户交互，从而增加了其风险等级。其CVSS v3.1基本评分为5.3（中危），反映了其对机密性和可用性影响较小，但对完整性有重大影响。

目前尚无补丁或已知漏洞利用的报告，但该漏洞的性质使其成为旨在攻击与WordPress集成的忠诚度或支付系统的攻击者的目标。依赖myCred进行客户互动或财务激励的组织应将其视为优先处理的漏洞。

潜在影响

对于欧洲的组织而言，此影响主要涉及通过myCred插件集成的忠诚度和支付系统的完整性。未经授权操纵积分余额和提现审批可能导致财务损失、欺诈和声誉损害。电子商务平台、会员制网站以及利用游戏化推动客户参与的企业风险尤其高。

该漏洞可能被利用来欺诈性兑换积分或提取资金，破坏平台信任，并且如果客户数据或交易受到间接影响，还可能根据GDPR引发监管审查。虽然可用性和机密性未受直接影响，但完整性破坏带来的财务和运营后果可能非常严重。对于交易量大的组织或在忠诚度计划对客户保留至关重要的竞争市场中运营的组织，风险会更高。

缓解建议

1. 立即限制对cashcred_pay_now AJAX端点的访问，在补丁可用之前，通过实施服务器端访问控制（如IP白名单或要求身份验证令牌）来实现。
2. 监控与积分提现或余额变更相关的不寻常活动日志，为异常模式设置警报。
3. 如果非必需，禁用或限制myCred插件的提现和支付功能的使用。
4. 应用最小权限原则，确保只有授权的角色才能发起提现请求或修改积分。
5. 与插件供应商或社区合作，尽快获取并应用安全补丁。
6. 对WordPress安装中的所有AJAX端点进行安全审计，以验证是否存在适当的授权检查。
7. 教育网站管理员了解相关风险，并鼓励定期更新插件和主题，以减少暴露于类似漏洞的风险。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

技术详情

• 数据版本: 5.2
• 分配者简称: Wordfence
• 日期保留: 2025-10-27T17:02:30.340Z
• CVSS版本: 3.1
• 状态: 已发布

来源: CVE数据库 V5 发布日期: 2025年12月13日 星期六