漏洞概述 漏洞编号:3555026 插件名称:klamra-paycal-for-aspaclaria 作者:klamra22 发布时间:2026年5月30日 09:20:05 PM(13天前) 漏洞描述: - 修复了发票管理员改进的安全问题。 - 限制了发票下载权限,仅允许拥有客户或授权商店经理访问,并增加了非授权访问的拒绝。 - 改进了PayPal Invoices管理员界面,增加了安全的发票下载链接、准备分配号码支持、分离商户/终端凭据从可选许可证激活、改进设置向导/许可证UI复制。 - 修复了Apple Pay、托管结账、商户验证、WooCommerce退货处理、支付完成和订单状态逻辑未更改的问题。 影响范围 受影响文件: - 下的所有文件。 - 具体文件列表包括: - - - - - 目录下的所有文件 - 目录下的所有文件 - 目录下的所有文件 - 目录下的所有文件 - 目录下的所有文件 - 目录下的所有文件 - 目录下的所有文件 - - - 修复方案 修复措施: - 限制了发票下载权限,仅允许拥有客户或授权商店经理访问。 - 增加了非授权访问的拒绝机制。 - 改进了PayPal Invoices管理员界面,增加了安全的发票下载链接。 - 分离商户/终端凭据从可选许可证激活。 - 改进了设置向导/许可证UI复制。 - 修复了Apple Pay、托管结账、商户验证、WooCommerce退货处理、支付完成和订单状态逻辑未更改的问题。 POC代码或利用代码 页面中未包含具体的POC代码或利用代码。 总结 该漏洞主要涉及发票下载权限的安全问题,通过限制访问权限和改进管理员界面来修复。受影响文件较多,主要集中在 插件的各个模块中。修复方案包括权限限制、安全链接增加和逻辑修复等。