漏洞概述
WordPress 插件 “Dokan: AI Powered WooCommerce Multivendor Marketplace Solution” 在 4.2.4 及更早版本中,存在不安全的直接对象引用(Insecure Direct Object Reference, IDOR)漏洞。该漏洞源于其 REST API 端点 /wp-json/dokan/v1/settings 缺少对用户控制键的有效验证,允许具有客户及以上权限的已认证攻击者读取或修改其他商家的店铺设置,包括 PayPal 邮箱、银行账户、IBAN、SWIFT 代码等敏感支付信息,甚至可将 PayPal 邮箱篡改为攻击者控制的地址,从而在平台结算时实施资金窃取。
漏洞详情
- CVE 编号:CVE-2025-14977
- 漏洞类型:不安全的直接对象引用(IDOR),CWE-284(权限、特权和访问控制不当)
- CVSS 评分:8.1(HIGH)
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N - 影响版本:Dokan 插件 ≤ 4.2.4
影响范围
所有使用 Dokan 插件(版本 4.2.4 及以下)构建多商户 WooCommerce 商城的 WordPress 网站均受影响。只要攻击者拥有任意已认证账户(如普通顾客、注册用户等低权限角色),即可利用此漏洞横向访问或篡改其他商家的敏感店铺配置信息。
风险分析
该漏洞可被用于严重的业务与财务攻击:攻击者可窃取其他商家的银行账户、PayPal 邮箱等支付凭证,并通过修改 PayPal 邮箱将平台自动打款重定向至自身账户,实现资金盗取。此外,泄露的电话、地址等信息也可能被用于社工或其他关联攻击。由于无需用户交互且攻击复杂度低,一旦站点存在低权限账户泄露或被注册,即可能被利用。
修复建议
- 立即升级 Dokan 插件至已修复的安全版本(建议检查官方插件仓库或联系厂商获取补丁)。
- 在无法立即升级的情况下,建议临时禁用非必要用户注册,并限制 REST API 的公开访问,或通过 Web 应用防火墙(WAF)规则拦截对
/wp-json/dokan/v1/settings端点的未授权访问。
