FOX Currency Switcher Professional 授权绕过漏洞 (CVE-2026-9241)

漏洞概述 漏洞名称: FOX – Currency Switcher Professional for WooCommerce <= 1.4.6 - Authenticated (Subscriber+) Authorization Bypass via User-Controlled Key to 'wooc_order_user_roles' Parameter CVE ID: CVE-2026-9241 CVSS评分: 4.3 (Medium) 发布日期: May 27, 2026 最后更新日期: May 28, 2026 研究者: Long Lagon 影响范围 软件类型: Plugin 软件名称: woocommerce-currency-switcher 受影响版本: <= 1.4.6 修复版本: 1.4.7 修复方案 修复建议: 升级到版本 1.4.7 或更新的已修复版本。 漏洞描述 该漏洞允许经过身份验证的用户（订阅者及以上）通过控制 'wooc_order_user_roles' 参数，绕过权限检查，从而获取更高权限角色的功能。具体来说，攻击者可以利用此漏洞以较低权限角色（如订阅者）的身份执行高权限角色的操作，例如获取折扣价格或其他受限定价信息。 参考链接 plugins.trac.wordpress.org 其他相关信息 最近发现的漏洞: - FOX – Currency Switcher Professional for WooCommerce <= 1.4.5 - Missing Authorization to Authenticated (Contributor+) Configuration Deletion - FOX <= 1.4.5 - Missing Authorization - FOX <= 1.4.5 - Authenticated (Shop manager+) SQL Injection - The FOX – Currency Switcher Professional for WooCommerce <= 1.4.2.2 - Unauthenticated Arbitrary Shortcode Execution - FOX – Currency Switcher Professional for WooCommerce <= 1.4.2.1 - Unauthenticated Arbitrary Shortcode Execution - WOOC5 – WooCommerce Currency Switcher <= 1.4.2 - Missing Authorization - FOX – Currency Switcher Professional for WooCommerce <= 1.4.1.8 - Unauthenticated Arbitrary Shortcode Execution - WOOC5 – WooCommerce Currency Switcher <= 1.4.1.7 - Cross-Site Request Forgery - FOX – Currency Switcher Professional for WooCommerce <= 1.4.1.6 - Missing Authorization to Authenticated (Subscriber+) Stored Cross-Site Scripting - WOOC5 – WooCommerce Currency Switcher <= 1.4.1.4 - Cross-Site Request Forgery via delete_profiles_data 总结 该漏洞主要影响 FOX – Currency Switcher Professional for WooCommerce 插件的 <= 1.4.6 版本，通过控制特定参数实现权限绕过。建议用户尽快升级到 1.4.7 或更高版本以修复此漏洞。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

FOX Currency Switcher Professional 授权绕过漏洞 (CVE-2026-9241)

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

FOX Currency Switcher Professional 授权绕过漏洞 (CVE-2026-9241)

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！