这个插件很多地方的AJAX调用函数都没有对当前用户权限进行判断,导致可以任意操作一些危险的AJAX动作,比如暂停插件用户,随意更改订单状态等等
关于此漏洞更加详细的信息请查看这里:https://wpscan.com/vulnerability/c600dd04-f6aa-430b-aefb-c4c6d554c41a
莆田SEO网络安全研究
这个插件很多地方的AJAX调用函数都没有对当前用户权限进行判断,导致可以任意操作一些危险的AJAX动作,比如暂停插件用户,随意更改订单状态等等
关于此漏洞更加详细的信息请查看这里:https://wpscan.com/vulnerability/c600dd04-f6aa-430b-aefb-c4c6d554c41a