CVE-2025-13312CRM Memberships是WordPress平台的一个客户关系管理插件,用于管理会员标签和CRM配置。该插件在2.5及以下所有版本中存在严重的访问控制漏洞,原因是'nztcrm_add_new_tag'函数缺少权限检查。攻击者无需任何认证即可调用该函数,创建任意会员标签并修改CRM系统配置。这违反了最小权限原则,使得本应仅限管理员操作的敏感功能暴露给未认证用户。攻击者可利用此漏洞污染会员数据、修改系统设置,进而可能导致更严重的后续攻击。由于该漏洞利用无需用户交互且攻击复杂度低,因此具有较高的实际威胁性。
该漏洞属于OWASP Top 10 2021中的A01:2021-Broken Access Control类别。具体问题在于class-ntzcrm-api.php文件中的'nztcrm_add_new_tag'函数(第14行和第828行附近)缺少WordPress的current_user_can()权限验证检查。在正常的安全实现中,涉及创建会员标签和修改CRM配置的敏感操作应当验证用户是否具有manage_options权限。然而该函数直接处理请求参数中的标签数据,未进行任何权限校验。由于WordPress的REST API默认情况下可能允许未认证用户访问某些端点,攻击者可以直接构造HTTP POST请求调用该函数。请求中包含标签名称和配置参数,服务器端直接执行标签创建和配置更新操作,完全绕过了管理员权限验证机制。攻击者可通过反复调用该接口创建大量垃圾标签数据,影响系统正常使用。