行業新聞與博客

PatchStack 稱，PayU CommercePro 插件中的一個嚴重漏洞允許未經身份驗證的攻擊者劫持用户帳户，從而使數千個 WordPress 網站面臨風險。

運費 API 漏洞可導致賬户劫持

該漏洞是在 3.8.5 版本中發現的，源於 /payu/v1/get-shipping-cost API 路由中不安全的邏輯。攻擊者可以利用此漏洞冒充任何註冊用户，包括網站管理員，而無需登錄憑證。

該漏洞編號為 CVE-2025-31022，是由 update_cart_data () 函數的不安全處理引起的。該函數原本用於處理訂單和配送詳情，但它在未驗證用户身份的情況下接收用户 ID 並設置會話數據。

由於 API 調用僅檢查與硬編碼電郵（commerce.pro@payu.in）關聯的有效令牌，因此攻擊者可以使用另一個暴露的端點 /payu/v1/generate-user-token 生成有效令牌。利用該令牌，他們可以發送惡意請求，從而控制任何現有用户帳户。

漏洞利用涉及鏈式 API 調用和硬編碼電郵

攻擊路徑遵循以下關鍵步驟：

• 使用受信任的硬編碼電郵生成身份驗證令牌

• 使用目標用户的電郵調用運費 API

• 觸發易受攻擊的 update_cart_data () 函數

• 獲得用户 WordPress 帳户的訪問權限

該插件還會刪除其創建的臨時訪客賬户，從而降低被發現的可能性。這為漏洞利用增加了一層隱蔽性，使攻擊者在接管系統後仍無法被發現。

30 天披露期後未發佈任何修復程序

儘管做出了負責任的披露努力，但供應商尚未發佈任何補丁。

Patchstack 團隊建議：“如果您是 PayU CommercePro 用户，請停用並刪除該插件。”

還敦促開發人員審核公共 API 端點並消除硬編碼憑證，以防止類似的風險。