WooCommerce生态5月安全警报丨InfusedWoo Pro与Burst Statistics插件曝严重漏洞，需立即更新

2026年5月28日 星期三

核心看点：2026年5月WordPress插件安全漏洞集中爆发，多款WooCommerce相关插件被曝高危风险。InfusedWoo Pro在5月13日被披露存在权限提升漏洞（CVE-2026-6510，CVSS 9.8）和授权绕过漏洞（CVE-2026-6512，CVSS 9.1），攻击者无需登录即可获取管理员权限或删除任意订单。同日，Burst Statistics插件（CVE-2026-8181，CVSS 9.8）被曝身份验证绕过漏洞，攻击者仅需知晓管理员用户名即可冒充管理员。所有使用相关插件的独立站需立即升级至修复版本。

网络安全防护与数据加密概念图，来源：Unsplash图库

据WP资源海5月13日报道、5月20日报道及5月13日漏洞预警，多款插件存在严重安全风险。

漏洞详情：①InfusedWoo Pro CVE-2026-6510（CVSS 9.8）——5.1.2及之前版本存在权限提升漏洞，AJAX处理器未进行随机数验证和权限检查，攻击者无需登录即可创建恶意自动化食谱，诱使用户访问特制链接后获取管理员认证Cookie；②InfusedWoo Pro CVE-2026-6512（CVSS 9.1）——5.1.2及之前版本存在授权绕过漏洞，未经身份验证的攻击者可永久删除任意文章、页面、商品或订单，批量删除评论并修改文章状态；③Burst Statistics CVE-2026-8181（CVSS 9.8）——3.4.0至3.4.1.1版本存在身份验证绕过漏洞，函数错误处理Authorization头返回值，攻击者仅需知晓管理员用户名，通过提供任意随机Basic Authentication密码即可冒充管理员。

①立即升级——InfusedWoo Pro用户需升级至5.1.3或更高版本；Burst Statistics用户需升级至3.4.2或更高版本；②权限复核——检查administrator/shop manager等高权限账号是否存在异常，重置所有管理员密码；③日志排查——查看近期插件安装/配置变更记录，确认无异常写入或未知管理员账号创建；④WAF加固——建议配合Wordfence或类似WAF插件，启用登录审计与可疑请求拦截；⑤备份恢复——若已发现网站被入侵迹象，立即从5月13日前的干净备份恢复，并升级补丁。

更多WordPress安全资源，请访问星火跨境导航获取漏洞监控工具。

紧急提醒：CVSS 9.8分漏洞属于”严重”级别，攻击者无需任何认证即可接管网站。若您正在使用InfusedWoo Pro 5.1.2或Burst Statistics 3.4.0/3.4.1，请立即停止手头工作，优先完成插件升级。延迟修复可能导致客户数据泄露、订单被篡改、支付接口被劫持。

• [1] WP资源海 – InfusedWoo Pro插件超危漏洞预警（CVE-2026-6510）
• [2] WP资源海 – InfusedWoo Pro插件超危漏洞预警（CVE-2026-6512）
• [3] WP资源海 – Burst Statistics 3.4.0插件超危漏洞预警（CVE-2026-8181）

编辑总结：5月WooCommerce插件漏洞频发再次警示独立站卖家：插件数量越多，攻击面越大。建议定期清理无用插件，优先选择更新频率高、用户基数大的主流插件，并启用自动安全更新。对于处理订单与支付的核心插件，务必在测试环境验证补丁后再部署至生产环境。更多WP安全资源，请关注星火跨境导航。