一、 漏洞 CVE-2025-15513 基础信息
漏洞信息
# 浮点支付网关 <=1.1.9 未授权订单状态篡改漏洞
## 概述
Float Payment Gateway 插件中的 `verifyFloatResponse()` 函数存在因不当错误处理导致的数据未授权修改漏洞。
## 影响版本
WordPress Float Payment Gateway 插件 1.1.9 及之前所有版本。
## 细节
漏洞存在于 `verifyFloatResponse()` 函数中,由于缺乏适当的错误处理机制,攻击者可触发异常流程,进而篡改订单状态。
## 影响
未经身份验证的攻击者可利用该漏洞将任意 WooCommerce 订单标记为失败状态。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Float Payment Gateway <= 1.1.9 - Improper Authorization to Unauthenticated Order Status Manipulation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Float Payment Gateway plugin for WordPress is vulnerable to unauthorized modification of data due to improper error handling in the verifyFloatResponse() function in all versions up to, and including, 1.1.9. This makes it possible for unauthenticated attackers to mark any WooCommerce order as failed.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不正确
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Float Payment Gateway 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin Float Payment Gateway 1.1.9及之前版本存在安全漏洞,该漏洞源于错误处理不当,可能导致未经授权的数据修改。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-15513 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-15513 的情报信息
- https://plugins.trac.wordpress.org/browser/float-gateway/tags/1.1.9/index.php#L477
标题: ERROR: The request could not be satisfied -- 🔗来源链接
标签:
神龙速读:### 关键信息 - **错误代码:** 403 ERROR - **错误描述:** The request could not be satisfied. - **原因:** Request blocked. We can't connect to the server for this app or website at this time. - **可能的原因:** - Too much traffic - Configuration error - **建议行动:** - Try again later - Contact the app or website owner - Review the CloudFront documentation for troubleshooting - **生成信息:** - Generated by cloudfront (CloudFront) - Request ID: OhrMCGX75pM8-MAgc2lufQHHeT7rXPF_-IQX_pPvizamDDySGHM19Q==
- https://nvd.nist.gov/vuln/detail/CVE-2025-15513
四、漏洞 CVE-2025-15513 的评论
匿名用户
2026-01-15 06:08:24Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.