漏洞总结:Login as User <= 1.0.3 权限提升漏洞 漏洞概述 漏洞名称:Login as User <= 1.0.3 - Authenticated (Subscriber+) Privilege Escalation via 'oclaup_original_admin' Cookie CVSS评分:8.8 漏洞类型:权限提升(Privilege Escalation) 漏洞描述:Login as User 插件在 WordPress 所有版本(包括 1.0.3)中存在权限提升漏洞。该漏洞源于 函数信任客户端控制的 cookie( ),用于确定用户身份,而无需任何服务器端验证 cookie 值。 影响范围 软件类型:插件(Plugin) 软件名称:Login as User – Switch User & WooCommerce Login as Customer 软件标识: 受影响版本:<= 1.0.1 修复状态:无已知补丁(No known patch available) 修复方案 当前状态:暂无官方补丁 建议措施: - 审查漏洞详情并基于组织风险容忍度实施缓解措施 - 可能需要卸载受影响的软件并寻找替代方案 - 参考 Wordfence Intelligence 的 API 文档和 Webhook 文档获取更多信息 其他信息 最后更新日期:2026年4月15日 研究人员:BaroHaf - fp 相关资源: - plugins.trac.wordpress.org - plugins.trac.wordpress.org - wordpress.org