CVE-2025-11171：WordPress Chartify插件未授权AJAX操作漏洞

漏洞信息

漏洞编号

CVE-2025-11171

漏洞类型

未授权访问（Missing Authentication for Critical Function）

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Chartify – WordPress Chart Plugin（chart-builder）

漏洞概述

CVE-2025-11171是WordPress平台上一款名为Chartify的图表插件（chart-builder）所存在的未授权访问漏洞。该漏洞由Wordfence安全团队的研究员发现，并于2025年10月8日正式披露。Chartify插件允许WordPress用户在网站中轻松创建和展示各种图表，广泛应用于数据可视化场景。然而，该插件在所有3.5.9及以下版本中，存在一个严重的安全设计缺陷：插件注册了一个未经身份验证的AJAX操作（AJAX action），该操作会根据请求参数将调用分派到admin类的方法，但在整个调用链中完全缺失nonce验证和权限能力检查（capability checks）。这意味着任何未登录的远程攻击者，只要能够猜测或枚举出可调用的方法名称，就可以通过WordPress标准的wp-admin/admin-ajax.php端点执行插件的管理员级功能。CVSS 3.1评分为5.3分，属于中危级别，攻击向量为网络（AV:N），无需认证（PR:N），无需用户交互（UI:N），对机密性无影响，对完整性有低影响（C:L/I:L/A:N）。该漏洞的威胁在于攻击者可以未经授权执行管理操作，可能导致网站配置被篡改、数据被修改或其他管理功能的滥用，对使用该插件的WordPress站点构成实质性安全风险。

技术细节

从技术层面分析，该漏洞的根本原因在于Chartify插件的AJAX端点注册逻辑存在严重的安全缺陷。插件通过WordPress的wp_ajax_系列钩子注册了一个AJAX处理动作，该动作接收来自HTTP请求的参数（包括要调用的方法名），然后直接通过PHP的call_user_func()或类似机制将请求分发到admin类（class-chart-builder-admin.php）中的相应方法。在整个调用过程中，代码既没有使用WordPress标准的check_ajax_referer()或wp_verify_nonce()进行CSRF令牌校验，也没有调用current_user_can()进行用户权限能力检查。具体涉及的关键代码位置包括：admin/class-chart-builder-admin.php的第1625行（AJAX动作注册处）、第675行（方法分发逻辑处），以及includes/class-chart-builder.php的第247行（插件初始化处）。攻击者利用该漏洞的方式非常简单：首先，攻击者通过HTTP POST请求向目标站点的wp-admin/admin-ajax.php端点发送请求，在请求体中指定action参数为插件注册的AJAX动作名称（如chart_builder_ajax），并通过额外的参数指定要调用的admin类方法名称。由于完全缺乏认证和授权检查，服务器将直接执行该方法，从而实现未授权的管理功能调用。攻击者只需通过插件源代码分析或暴力枚举即可发现可调用的方法名称，进而执行各种管理操作。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过访问目标WordPress站点的/wp-content/plugins/chart-builder/目录或使用插件指纹识别工具，确认目标站点安装了Chartify插件及其版本信息。

STEP 2

步骤2：源代码分析

攻击者下载或在线浏览插件源代码，重点分析admin/class-chart-builder-admin.php和includes/class-chart-builder.php文件，识别出AJAX动作注册名称和可调用的admin类方法列表。

STEP 3

步骤3：构造恶意请求

攻击者构造HTTP POST请求，向/wp-admin/admin-ajax.php端点发送数据，包含插件注册的AJAX action名称和目标方法名称等参数。

STEP 4

步骤4：绕过认证执行

由于插件完全缺失nonce验证和capability检查，服务器直接执行请求中指定的管理员类方法，攻击者无需任何认证即可完成未授权的管理功能调用。

STEP 5

步骤5：权限提升与影响

攻击者通过执行管理功能可能修改插件配置、篡改图表数据、注入恶意内容或执行其他破坏性操作，对网站完整性和数据安全性造成威胁。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11171 PoC - Chartify WordPress Plugin Unauthenticated AJAX Action
# Vulnerability: Missing Authentication for Critical Function
# Affected: Chartify - WordPress Chart Plugin <= 3.5.9

import requests

TARGET_URL = "http://target-wordpress-site.com"
AJAX_ENDPOINT = f"{TARGET_URL}/wp-admin/admin-ajax.php"

# Step 1: Enumerate callable admin class methods by analyzing plugin source
# The plugin registers an AJAX action that dispatches to admin-class methods
# based on a request parameter without nonce or capability checks

# Step 2: Send unauthenticated AJAX request to execute admin function
payload = {
    "action": "chart_builder_ajax",  # The registered AJAX action name
    "method": "admin_method_name",   # The admin class method to invoke
    # Additional parameters required by the target method
}

response = requests.post(AJAX_ENDPOINT, data=payload)

if response.status_code == 200:
    print("[+] Request successful - admin function executed without authentication")
    print(f"[+] Response: {response.text[:500]}")
else:
    print(f"[-] Request failed with status code: {response.status_code}")

# Note: The actual action name and method names need to be determined
# by analyzing the plugin source code at:
# /wp-content/plugins/chart-builder/admin/class-chart-builder-admin.php
# Key lines: #1625 (AJAX registration), #675 (method dispatch logic)

影响范围

Chartify (chart-builder) <= 3.5.9

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）通过WordPress后台暂时停用Chartify插件；2）在服务器层面（.htaccess或Nginx配置）限制对/wp-admin/admin-ajax.php端点的访问，仅允许必要的IP地址；3）部署Web应用防火墙（WAF）规则，阻止包含特定AJAX action参数的未授权请求；4）监控网站日志，查找异常的AJAX调用记录；5）检查网站是否存在被未授权修改的痕迹。强烈建议尽快升级到3.6.0或更高版本以彻底修复该漏洞。