CVE-2025-10313CVE-2025-10313是WordPress平台上一款名为"Find And Replace Content"(查找和替换内容)的插件中存在的高危安全漏洞。该漏洞由WordPress安全厂商Wordfence的安全研究团队发现并披露,CVSS评分为7.2分,属于高危级别漏洞。
该漏洞的核心问题在于插件中的far_admin_ajax_fun()函数缺少必要的能力检查(capability check),导致未认证的攻击者可以调用该函数执行存储型跨站脚本攻击(Stored XSS)和任意内容替换操作。由于该函数未对调用者的权限进行验证,任何未登录的访问者都可以向服务器提交恶意请求,将恶意的JavaScript代码或HTML内容注入到网站的页面中。
一旦恶意脚本被存储到网站的数据库中,每当普通用户或管理员访问包含该恶意内容的页面时,注入的脚本就会自动执行。攻击者可以利用此漏洞实施多种恶意行为,包括但不限于:窃取用户会话Cookie、劫持管理员账户、实施权限提升攻击、进行恶意重定向、将访问者引导至钓鱼网站或恶意软件下载页面,以及在受害者浏览器中执行任意JavaScript代码等。该漏洞影响该插件的所有1.1及以下版本,使用该插件的WordPress网站面临严重的安全风险。
该漏洞的技术根源在于WordPress插件"Find And Replace Content"的far_admin_ajax_fun()函数缺少权限验证机制。在WordPress插件开发中,管理员级别的AJAX操作应当通过current_user_can()函数或类似机制验证调用者是否具备相应的管理权限(如manage_options),以防止未授权用户调用敏感功能。
然而,该插件的far_admin_ajax_fun()函数通过WordPress的AJAX钩子(如wp_ajax_或wp_ajax_nopriv_)注册,允许未认证用户直接调用。由于缺少能力检查,攻击者可以构造特定的AJAX请求,调用该函数并传入恶意的搜索和替换参数。
具体利用方式如下:
1. 攻击者通过POST请求向WordPress的admin-ajax.php端点发送带有action=far_admin_ajax_fun参数的请求;
2. 请求中包含搜索关键词(search_text)和替换内容(replace_text)参数;
3. 替换内容中可以包含恶意的JavaScript代码,如<script>alert(document.cookie)</script>或更复杂的payload;
4. 插件执行查找替换操作时,会将恶意脚本写入数据库中的文章、页面或其他内容中;
5. 当其他用户(尤其是管理员)访问被注入的页面时,恶意脚本在受害者浏览器中执行;
6. 攻击者可通过XSS进一步实施权限提升、账户接管或植入后门等攻击。
由于整个过程无需认证(PR:N)且无需用户交互(UI:N),攻击者可以批量扫描并自动化攻击大量使用该插件的WordPress网站。