CVE-2025-12022CVE-2025-12022 是 WordPress 插件 ELEX WordPress HelpDesk & Customer Ticketing System 中存在的一个权限绕过漏洞。该漏洞源于 'eh_crm_settings_restore_trash' AJAX 端点缺少权限检查,导致任何已认证用户(包括最低权限的订阅者)都可以通过该端点恢复所有已删除的工单。攻击者利用此漏洞可以在未经授权的情况下恢复已删除的票据,可能导致敏感客户支持信息的泄露或工单管理流程的混乱。由于该漏洞影响所有版本至 3.3.1,众多使用该插件的 WordPress 网站都面临风险。建议用户尽快升级到最新版本以修复此安全问题。
该漏洞属于不安全的直接对象引用(IDOR)类型,问题出在插件的 AJAX 处理函数中。具体来说,'eh_crm_settings_restore_trash' 端点没有正确验证调用者是否具有执行恢复操作的权限。在 WordPress 中,AJAX 端点通常需要使用 current_user_can() 或类似函数来验证用户权限,但该插件遗漏了此检查。攻击者只需要发送一个带有有效认证 cookie 的 AJAX 请求到 wp-admin/admin-ajax.php 端点,并携带相应的 action 参数和票据 ID,即可触发恢复操作。由于 WordPress 的订阅者角色用户默认即可访问此端点,攻击门槛极低。成功利用后,所有被标记为已删除的工单都将被恢复到活动状态,可能导致数据不一致或敏感信息泄露。