CVE-2025-11167 WordPress CM Registration插件开放重定向漏洞

漏洞信息

漏洞编号

CVE-2025-11167

漏洞类型

开放重定向（Open Redirect）

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

CM Registration – Tailored tool for seamless login and invitation-based registrations（WordPress插件）

漏洞概述

CVE-2025-11167是WordPress的CM Registration插件中存在的一个开放重定向漏洞。该插件是一款用于管理登录和基于邀请注册的WordPress工具，广泛应用于需要控制用户注册流程的网站中。该漏洞存在于所有2.5.6及以下版本中，由Wordfence安全团队的安全研究员发现并报告。

漏洞的根本原因在于插件对用户通过'redirect_url'参数提供的重定向URL缺乏充分的验证和过滤机制。开放重定向漏洞虽然不像SQL注入或远程代码执行那样直接危害服务器安全，但它常被攻击者用于钓鱼攻击、社会工程学攻击以及绕过安全检测。当用户被诱导点击特制的恶意链接后，浏览器会被重定向到攻击者控制的恶意网站，从而可能导致用户凭证泄露、恶意软件感染或其他安全风险。

该漏洞的CVSS评分为4.7，属于中等严重等级。虽然攻击复杂度低且无需认证即可利用，但需要用户交互（如点击特制链接）才能触发攻击。由于该漏洞影响范围明确（特定插件的特定版本），且利用条件需要用户配合，因此被评定为中等风险。WordPress网站管理员应尽快检查是否使用了受影响的插件版本，并及时更新到修复版本。

技术细节

CM Registration插件的LoginController.php文件中处理用户登录流程时，会接收并使用'redirect_url'参数来决定用户登录成功后的跳转目标。然而，该插件在处理该参数时未对URL进行充分的验证，包括未检查URL是否属于同一域名（白名单验证）、未过滤外部URL链接、未阻止协议相对URL（如//evil.com）等。

攻击者可以构造一个包含恶意'redirect_url'参数的链接，例如：
https://victim-site.com/cm-login/?redirect_url=https://attacker-controlled-site.com/phishing

当受害者点击该链接时，首先会被引导到合法的WordPress网站（这增加了链接的可信度），登录或完成相应操作后，浏览器会被重定向到攻击者控制的恶意网站。由于初始URL看起来是合法的，受害者更容易放松警惕，从而可能在钓鱼页面输入敏感信息（如用户名、密码、信用卡信息等）。

该漏洞利用无需认证（PR:N），通过网络即可发起攻击（AV:N），攻击复杂度低（AC:L），但需要用户交互（UI:R）才能完成攻击链。成功利用后主要影响完整性（I:L），对机密性和可用性影响较小。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标网站是否安装了CM Registration插件（版本≤2.5.6），可通过查看页面源代码、插件路径等方式确认。

STEP 2

步骤2：构造恶意链接

攻击者构造包含恶意'redirect_url'参数的URL，指向攻击者控制的钓鱼网站或恶意页面。

STEP 3

步骤3：诱导用户点击

通过钓鱼邮件、社交媒体、即时通讯工具等方式诱导受害者点击特制链接。由于链接指向合法域名，受害者更容易信任。

STEP 4

步骤4：触发重定向

受害者在合法网站上完成登录或其他操作后，插件将用户重定向到攻击者控制的恶意网站。

STEP 5

步骤5：实施进一步攻击

在恶意网站上，攻击者可进行钓鱼攻击窃取凭证、分发恶意软件，或利用受害者的信任关系进行二次攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11167 - CM Registration Open Redirect PoC
# Vulnerability: Insufficient validation of 'redirect_url' parameter

import requests

TARGET_URL = "https://victim-wordpress-site.com"
MALICIOUS_URL = "https://attacker-controlled-phishing-site.com/fake-login"

# Craft the malicious redirect URL
# The plugin fails to validate the redirect_url parameter,
# allowing redirection to arbitrary external domains
payload = f"{TARGET_URL}/?redirect_url={MALICIOUS_URL}"

print(f"[*] Malicious URL crafted: {payload}")
print(f"[*] When victim clicks this link and completes login action,")
print(f"[*] they will be redirected to: {MALICIOUS_URL}")

# Example of how the vulnerable parameter is used:
# In LoginController.php, the redirect_url parameter is processed
# without proper validation:
#   $redirect_url = $_GET['redirect_url'];
#   header("Location: " . $redirect_url);  // No validation!

# Alternative PoC using direct HTTP request to verify redirect:
response = requests.get(payload, allow_redirects=False)
print(f"\n[*] HTTP Status: {response.status_code}")
print(f"[*] Location Header: {response.headers.get('Location', 'N/A')}")
if MALICIOUS_URL in response.headers.get('Location', ''):
    print("[+] Vulnerability confirmed! Open Redirect detected.")

影响范围

CM Registration插件 <= 2.5.6

防御指南

临时缓解措施

在等待官方修复版本发布之前，网站管理员可以采取以下临时缓解措施：1）通过修改插件的LoginController.php文件，在处理'redirect_url'参数前添加URL验证逻辑，确保重定向URL属于本站域名；2）使用.htaccess文件或Web服务器配置限制外部重定向；3）部署WAF规则拦截包含可疑外部URL的redirect_url参数；4）监控网站日志，及时发现异常的开放重定向利用尝试。