Wallet System for WooCommerce <= 2.7.2 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Wallet Balance Manipulation 漏洞信息(CVE-2025-14450)

一、漏洞 CVE-2025-14450 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # WooCommerce钱包插件越权操作漏洞

## 概述
Wallet System for WooCommerce 插件中的 `change_wallet_fund_request_status_callback` 函数因缺少权限检查，导致存在数据未授权修改漏洞。

## 影响版本
2.7.2 及之前的所有版本。

## 细节
该漏洞存在于 `change_wallet_fund_request_status_callback` 函数中，未对调用者执行能力（capability）检查。经过身份验证的攻击者（具备 Subscriber 及以上权限）可调用该函数修改钱包提现请求状态。

## 影响
攻击者可操控钱包提现请求，任意增加自身钱包余额或减少其他用户余额。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Wallet System for WooCommerce <= 2.7.2 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Wallet Balance Manipulation

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Wallet System for WooCommerce plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the 'change_wallet_fund_request_status_callback' function in all versions up to, and including, 2.7.2. This makes it possible for authenticated attackers, with Subscriber-level access and above, to manipulate wallet withdrawal requests and arbitrarily increase their wallet balance or decrease other users' balances.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

授权机制缺失

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-14450 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-14450 的情报信息

https://plugins.trac.wordpress.org/browser/wallet-system-for-woocommerce/tags/2.7.2/includes/class-wallet-system-ajaxhandler.php#L140

标题： ERROR: The request could not be satisfied -- 🔗来源链接

标签：

神龙速读：

                                        - **HTTP Status Code:** 403 Forbidden
- **Error Message:** The request could not be satisfied.
- **Reason:** The request was blocked by CloudFront.
- **Possible Causes:** Too much traffic or a configuration error on the server.
- **Action:** Try again later or contact the app or website owner.
- **CloudFront Guide:** Steps to troubleshoot and prevent this error are available in the CloudFront documentation.
- **Generated by:** CloudFront (CloudFront)
- **Request ID:** EngNRcZXCu3VJJhMuwmdJsGE1BOEV8w47nsYvWChJ2BDnqhKWhj10==

ERROR: The request could not be satisfied

https://plugins.trac.wordpress.org/browser/wallet-system-for-woocommerce/trunk/includes/class-wallet-system-ajaxhandler.php#L140
标题： Changeset 3435898 for wallet-system-for-woocommerce – WordPress Plugin Repository -- 🔗来源链接
标签：
https://nvd.nist.gov/vuln/detail/CVE-2025-14450

四、漏洞 CVE-2025-14450 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-14450 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-14450 的公开POC

三、漏洞 CVE-2025-14450 的情报信息

四、漏洞 CVE-2025-14450 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-14450 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-14450 的公开POC

三、漏洞 CVE-2025-14450 的情报信息

四、漏洞 CVE-2025-14450 的评论

发表评论

一、漏洞 CVE-2025-14450 基础信息