The REST API TO MiniProgram plugin for WordPress is vulnerable to Insecure Direct Object Reference in all versions up to, and including, 5.1.2. This is due to the permission callback (update_user_wechatshop_info_permissions_check) only validating that the supplied 'openid' parameter corresponds to an existing WordPress user, while the callback function (update_user_wechatshop_info) uses a separate, attacker-controlled 'userid' parameter to determine which user's metadata gets modified, with no verification that the 'openid' and 'userid' belong to the same user. This makes it possible for authenticated attackers, with Subscriber-level access and above, to modify arbitrary users' store-related metadata (storeinfo, storeappid, storename) via the 'userid' REST API parameter.
The REST API TO MiniProgram WordPress plugin versions up to 5.1.2 contains an Insecure Direct Object Reference vulnerability allowing authenticated attackers to modify arbitrary users' metadata. Attackers with Subscriber-level access can manipulate store-related information for other users by exploiting a mismatch between permission validation and the actual parameter used for modification.
ثغرة مرجع كائن مباشر غير آمن في إضافة WordPress تسمح للمهاجمين المصرح لهم بتعديل بيانات وصفية تتعلق بالمتجر لمستخدمين آخرين. الإضافة تفشل في التحقق من تطابق معاملات المستخدم المصرح بها مع المستخدم الذي يتم تعديل بيانته. يمكن للمهاجمين استخدام معامل 'userid' يتحكمون به للوصول إلى حسابات مستخدمين آخرين.
A vulnerability in the REST API TO MiniProgram WordPress plugin allows authenticated users to modify other users' store metadata through an insecure direct object reference flaw. The plugin fails to verify that the validated user parameter matches the user being modified, enabling privilege escalation attacks.
Update the REST API TO MiniProgram plugin to version 5.1.3 or later immediately. Verify that permission callbacks validate both the 'openid' and 'userid' parameters belong to the same authenticated user before allowing metadata modifications. Implement proper access control checks to ensure users can only modify their own store information.
قم بتحديث إضافة REST API TO MiniProgram إلى الإصدار 5.1.3 أو أحدث فوراً. تحقق من أن عمليات التحقق من الأذونات تتحقق من أن معاملات 'openid' و 'userid' تنتمي لنفس المستخدم المصرح قبل السماح بتعديل البيانات الوصفية. طبق فحوصات التحكم في الوصول المناسبة لضمان أن المستخدمين يمكنهم فقط تعديل معلومات متجرهم الخاصة.