漏洞关键信息总结 漏洞概述 (CVE-2025-9243) 漏洞名称: Cost Calculator Builder – Missing Authorization to update order status and payment status via update_order_status AJAX action 描述: 该漏洞存在于 "Cost Calculator Builder" 插件中。插件的 AJAX 端点(如 和 )仅使用了 进行验证,但完全缺失了 权限检查。 后果: 任何访问者(包括未授权用户)都可以利用此漏洞列出所有订单(包含客户姓名和邮箱等隐私信息),并任意将订单标记为“完成”、“取消”、“拒绝”或“待定”。这可能导致数据泄露、金融欺诈(如伪造支付完成)以及业务中断。 影响范围 受影响插件: Cost Calculator Builder 受影响版本: <= 3.5.32 安装量: 50,000+ 发布日期: 2025年10月9日 修复方案 (Recommendations for Improved Security) 1. 能力强制 (Capability Enforcement): 在所有 AJAX 处理器中添加权限检查。例如: 2. 限制 Nonce 暴露: 仅在管理页面注入 ,不要公开暴露。 3. 分离 Nonce: 为不同操作使用不同的、特定于操作的 nonce,并通过 进行验证。 4. 审计 AJAX 路由: 确保所有状态更改的 AJAX 操作都需要有效的 nonce 和适当的权限。 5. 日志与警报: 记录每个操作的用户 IP 和时间戳,并在异常状态更改时通知管理员。 POC 代码 (Proof of Concept)**