事件经过
Motive Commerce Search(WooCommerce AI 产品搜索)是一个为 WooCommerce 商店提供 AI 驱动的语义产品搜索的插件,在版本 1.38.2 及更早版本中包含未认证的访问控制破坏漏洞。发布于 2026 年 6 月 15 日(CVSS 8.2 高危)。远程未认证攻击者可以访问插件的受限功能。
影响分析
电子商务用 AI 驱动搜索插件通常处理敏感的搜索索引数据、产品目录,并可能存储外部 AI 搜索服务的 API 密钥。未认证的访问控制绕过可以公开搜索配置、客户查询历史,或允许操纵 AI 搜索索引以向购物者提供欺诈或恶意产品结果。
攻击途径
未认证的远程攻击者利用插件端点中缺失或实施不当的访问控制检查,在没有任何凭证的情况下调用 AI 搜索引擎的受限管理或配置功能。
受影响系统
WooCommerce AI 产品搜索——Motive Commerce Search ≤ 1.38.2
缓解措施
将 Motive Commerce Search 更新到版本 1.38.3 或更高版本。咨询:https://patchstack.com/database/wordpress/plugin/motive-commerce-search/vulnerability/wordpress-ai-product-search-for-woocommerce-motive-commerce-search-plugin-1-38-2-broken-access-control-vulnerability