行业新闻与博客

PatchStack 称，PayU CommercePro 插件中的一个严重漏洞允许未经身份验证的攻击者劫持用户帐户，从而使数千个 WordPress 网站面临风险。

运费 API 漏洞可导致账户劫持

该漏洞是在 3.8.5 版本中发现的，源于 /payu/v1/get-shipping-cost API 路由中不安全的逻辑。攻击者可以利用此漏洞冒充任何注册用户，包括网站管理员，而无需登录凭证。

该漏洞编号为 CVE-2025-31022，是由 update_cart_data () 函数的不安全处理引起的。该函数原本用于处理订单和配送详情，但它在未验证用户身份的情况下接收用户 ID 并设置会话数据。

由于 API 调用仅检查与硬编码电子邮件（commerce.pro@payu.in）关联的有效令牌，因此攻击者可以使用另一个暴露的端点 /payu/v1/generate-user-token 生成有效令牌。利用该令牌，他们可以发送恶意请求，从而控制任何现有用户帐户。

漏洞利用涉及链式 API 调用和硬编码电子邮件

攻击路径遵循以下关键步骤：

• 使用受信任的硬编码电子邮件生成身份验证令牌

• 使用目标用户的电子邮件调用运费 API

• 触发易受攻击的 update_cart_data () 函数

• 获得用户 WordPress 帐户的访问权限

该插件还会删除其创建的临时访客账户，从而降低被发现的可能性。这为漏洞利用增加了一层隐蔽性，使攻击者在接管系统后仍无法被发现。

30 天披露期后未发布任何修复程序

尽管做出了负责任的披露努力，但供应商尚未发布任何补丁。

Patchstack 团队建议：“如果您是 PayU CommercePro 用户，请停用并删除该插件。”

还敦促开发人员审核公共 API 端点并消除硬编码凭证，以防止类似的风险。