一、 漏洞 CVE-2025-26933 基础信息
漏洞标题
WooCommerce插件在WordPress中存在本地文件包含漏洞,影响版本<= 2.6.7,攻击者可以通过此漏洞在未支付的情况下提交订单。
不过,根据描述,这个漏洞的主要问题是本地文件包含(LFI),而非未支付下单。因此,更准确的翻译应该是:WooCommerce插件在WordPress中存在本地文件包含漏洞,影响版本<= 2.6.7。
如果你需要更简洁的标题,可以使用:
WooCommerce插件本地文件包含漏洞 (<= 2.6.7)
来源:AIGC 神龙大模型
漏洞描述信息
Nitinch Prakash WC Place Order Without Payment中存在的PHP远程文件包含漏洞('PHP Remote File Inclusion')允许进行PHP本地文件包含。该问题影响WC Place Order Without Payment版本从n/a到2.6.7。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
WordPress Place Order Without Payment for WooCommerce plugin <= 2.6.7 - Local File Inclusion vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion') vulnerability in Nitin Prakash WC Place Order Without Payment allows PHP Local File Inclusion. This issue affects WC Place Order Without Payment: from n/a through 2.6.7.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-26933 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-26933 的情报信息
-
标题: WordPress Place Order Without Payment for WooCommerce plugin <= 2.6.7 - Local File Inclusion vulnerability - Patchstack -- 🔗来源链接
标签: vdb-entry
- https://nvd.nist.gov/vuln/detail/CVE-2025-26933