一、 漏洞 CVE-2025-24373 基础信息
漏洞标题
通过woocommerce-pdf-invoices-packing-slips中的URL操纵实现对PDF文档的不受限制访问
来源:AIGC 神龙大模型
漏洞描述信息
WooCommerce PDF Invoices Packing Slips 是一个允许用户创建、打印并自动发送WooCommerce订单PDF发票及装箱单的插件。此漏洞允许未经授权的用户在满足以下条件时访问商店中的任何PDF文档: 1. 拥有访问guest文档链接的权限; 2. 将URL变量 `my-account` 替换为 `bulk`。 该问题会在以下情况下发生: 1. 商店的文档访问权限设置为“guest”; 2. 用户已登出。 此漏洞会泄露敏感文档的机密性,影响所有启用了guest访问选项并使用该插件的商店。此问题已在4.0.0版本中得到解决,建议所有用户升级。目前尚无已知的解决方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
授权机制不正确
来源:AIGC 神龙大模型
漏洞标题
Unrestricted Access to PDF Documents via URL Manipulation in woocommerce-pdf-invoices-packing-slips
来源:美国国家漏洞数据库 NVD
漏洞描述信息
woocommerce-pdf-invoices-packing-slips is an extension which allows users to create, print & automatically email PDF invoices & packing slips for WooCommerce orders. This vulnerability allows unauthorized users to access any PDF document from a store if they: 1. Have access to a guest document link and 2. Replace the URL variable `my-account` with `bulk`. The issue occurs when: 1. The store's document access is set to "guest." and 2. The user is logged out. This vulnerability compromises the confidentiality of sensitive documents, affecting all stores using the plugin with the guest access option enabled. This issue has been addressed in version 4.0.0 and all users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-24373 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-24373 的情报信息