一、 漏洞 CVE-2025-3780 基础信息
漏洞信息
                                        # WCFM – 适用于WooCommerce的一站式界面管理器以及兼容预订/订阅功能 <= 6.7.16 - 未授权用户可更改插件设置

## 漏洞概述
WCFM – Frontend Manager for WooCommerce 和 Bookings Subscription Listings Compatible 插件存在未经授权的数据修改漏洞,原因是 wcfm_redirect_to_setup 函数缺少能力验证。

## 影响版本
所有版本,包括 6.7.16 及其之前的版本。

## 漏洞细节
在 wcfm_redirect_to_setup 函数中缺少能力验证,导致未认证的攻击者可以查看和修改插件设置,包括支付详情和 API 密钥。

## 漏洞影响
未认证的攻击者可以利用此漏洞查看和修改插件设置,包括支付详情和 API 密钥,可能导致敏感数据泄露和未经授权的数据修改。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.16 - Missing Authorization to Unauthenticated Plugin Settings Modification
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible plugin for WordPress is vulnerable to unauthorized modification of data due to a missing capability check on the wcfm_redirect_to_setup function in all versions up to, and including, 6.7.16. This makes it possible for unauthenticated attackers to view and modify the plugin settings, including payment details and API keys
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible 6.7.16及之前版本存在安全漏洞,该漏
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-3780 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-3780 的情报信息

  • 标题: WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.16 - Missing Authorization to Unauthenticated Plugin Settings Modification -- 🔗来源链接

    标签:

    神龙速读
    WCFM – Frontend Manager for WooCommerce along with Bookings Subscription Listings Compatible <= 6.7.16 - Missing Authorization to Unauthenticated Plugin Settings Modification

  • 标题: class-wcfm-admin.php in wc-frontend-manager/tags/6.7.16/core – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    class-wcfm-admin.php in wc-frontend-manager/tags/6.7.16/core – WordPress Plugin Repository

  • 标题: class-wcfm-admin.php in wc-frontend-manager/tags/6.7.16/core – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    class-wcfm-admin.php in wc-frontend-manager/tags/6.7.16/core – WordPress Plugin Repository
  • https://nvd.nist.gov/vuln/detail/CVE-2025-3780