支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-15512 基础信息
漏洞信息
                                        # Aplazo 支付网关 <=1.4.2 授权缺失漏洞

## 概述
Aplazo Payment Gateway 插件中的 `check_success_response()` 函数因缺少权限检查,导致未认证攻击者可未经授权修改订单状态。

## 影响版本
WordPress Aplazo Payment Gateway 插件 1.4.2 及之前的所有版本。

## 细节
`check_success_response()` 函数未执行能力(capability)检查,且未进行身份验证校验,允许攻击者直接调用该函数。

## 影响
未认证的远程攻击者可利用该漏洞将任意 WooCommerce 订单状态更改为 `pending payment`,可能导致订单状态篡改和业务逻辑混乱。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Aplazo Payment Gateway <= 1.4.2 - Missing Authorization to Unauthenticated Order Status Manipulation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Aplazo Payment Gateway plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the check_success_response() function in all versions up to, and including, 1.4.2. This makes it possible for unauthenticated attackers to set any WooCommerce order to `pending payment` status.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Aplazo Payment Gateway 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin Aplazo Payment Gateway 1.4.2及之前版本存在安全漏洞,该漏洞源于缺少能力检查,可能导致未经授权的数据修改。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-15512 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-15512 的情报信息
  • https://plugins.trac.wordpress.org/browser/aplazo-payment-gateway/tags/1.4.2/includes/module/class-aplazo-module.php#L206

  • 标题: ERROR: The request could not be satisfied -- 🔗来源链接

    标签:

    神龙速读:
                                            ### 关键信息摘要

- **错误代码**: 403 - Forbidden
- **错误描述**: 请求被阻止,无法连接到提供应用或网站服务的服务器。
- **可能原因**: 
  - 过多的流量
  - 配置错误
- **建议措施**: 
  - 重试请求
  - 联系应用或网站的所有者
  - 查阅CloudFront文档进行故障排除和预防此错误
- **生成信息**:
  - **生成服务**: 由CloudFront生成
  - **请求ID**: ZaT4fqqn28DzCx44Nn5vp0q1g_rf918ifAVftlksQyLd1EguMrY6hA==

### 洞察

此错误通常表示请求被防护措施(如防火墙或安全组)阻挡,可能是由于安全配置、请求频率过高或请求内容被认定为风险引起。若多次重现,建议检查网络请求和服务器配置。
    ERROR: The request could not be satisfied
  • https://nvd.nist.gov/vuln/detail/CVE-2025-15512
四、漏洞 CVE-2025-15512 的评论
匿名用户
2026-01-15 06:08:24

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论