一、 漏洞 CVE-2025-11888 基础信息
漏洞信息
# ShopEngine WooCommerce 编辑器权限绕过漏洞
## 概述
ShopEngine Elementor WooCommerce Builder Addon 插件中的 `post_deactive()` 和 `post_activate()` 函数存在权限校验不足漏洞。
## 影响版本
所有 **4.8.4 及之前版本**。
## 细节
该漏洞是由于 `post_deactive()` 和 `post_activate()` 函数未正确校验用户权限,导致具有 Editor 级别及以上权限的认证用户可以非法激活或停用许可证。
## 影响
攻击者可未经授权激活或停用插件的许可证,可能导致授权状态被恶意篡改。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-11888 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-11888 的情报信息
-
标题: ShopEngine Elementor WooCommerce Builder Addon – All in One WooCommerce Solution <= 4.8.4 - Incorrect Authorization to Authenticated (Editor+) License Status Update -- 🔗来源链接
标签:
神龙速读
-
标题: Changeset 3381211 for shopengine/tags/4.8.5/libs/license/license-route.php – WordPress Plugin Repository -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-11888
四、漏洞 CVE-2025-11888 的评论
暂无评论