【中危漏洞】CVE-2025-14978:PeachPay 插件存在未授权订单状态修改漏洞
漏洞概述
WordPress 插件 “PeachPay — Payments & Express Checkout for WooCommerce”(支持 Stripe、PayPal、Square、Authorize.net)在 1.119.8 及之前版本中,其 ConvesioPay Webhook REST 接口缺少权限校验,导致未经身份验证的攻击者可远程修改任意 WooCommerce 订单状态,构成数据完整性风险。
漏洞详情
- CVE 编号:CVE-2025-14978
- 漏洞类型:未授权数据修改(Missing Authorization / CWE-862)
- CVSS 评分:5.3(中危),向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
- 影响版本:PeachPay for WooCommerce 插件 ≤ 1.119.8
影响范围
所有使用 PeachPay for WooCommerce 插件且版本号小于或等于 1.119.8 的 WordPress 网站均受影响。该插件用于为 WooCommerce 商店提供快速结账和多支付网关支持,广泛应用于电商场景。
风险分析
由于 ConvesioPay Webhook 接口未对调用者进行身份验证或能力检查,攻击者可构造恶意请求,直接修改任意订单的状态(如将“待付款”改为“已完成”),可能导致商家误发货、财务对账混乱或欺诈行为。虽然该漏洞不涉及数据泄露或系统接管,但对业务逻辑完整性和电商运营安全构成实质性威胁。
修复建议
- 立即升级 PeachPay for WooCommerce 插件至 1.119.9 或更高版本(以官方发布为准)。
- 若暂无法升级,建议通过 Web 应用防火墙(WAF)临时屏蔽对
/wp-json/convesiopay/webhook路径的外部访问,或限制仅允许可信 IP 调用该接口。
