CVE-2025-12010WordPress Authors List插件在2.0.6.1及之前的所有版本中存在敏感信息泄露漏洞。该漏洞源于Authors_List_Shortcode类对短代码属性处理不当,允许通过精心构造的短代码属性调用任意方法。攻击者只需拥有WordPress网站的Contributor级别(最低权限)账号,即可利用该漏洞调用get_meta等内部方法,提取数据库中存储的敏感用户信息,包括密码哈希值(可用于密码破解)、邮箱地址、用户名以及激活密钥等。此类信息一旦泄露,攻击者可进一步实施账号劫持、横向移动等更高级别的攻击,对网站和用户安全构成严重威胁。由于该漏洞无需任何用户交互即可利用,且攻击复杂度低,修复前应立即采取临时缓解措施。
该漏洞的核心成因在于Authors_List_Shortcode类中shortcode处理逻辑缺少对用户输入的充分校验。攻击者可通过在页面或文章的短代码中注入特定属性,触发对Authors_List_Shortcode类中非预期方法的调用。具体来说,攻击者利用shortcode属性传递参数,调用get_meta等受保护或私有方法,该方法在实现上直接访问并返回了wp_usermeta表中存储的敏感字段(如user_pass、user_email、user_activation_key等)。由于WordPress的短代码解析在服务器端完成,攻击者只需在能编辑内容的位置(如文章、草稿页面)插入恶意短代码,即可触发漏洞。短代码被渲染时,插件将用户可控的属性值直接传递给方法调用上下文,绕过了正常的业务逻辑访问控制。修复版本2.0.6.2在相关代码行(L868)增加了方法调用的安全校验,限制了可被调用的方法范围。