CVE-2025-66167 WordPress Lottier插件存在访问控制漏洞

漏洞信息

漏洞编号

CVE-2025-66167

漏洞类型

访问控制

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

merkulove Lottier lottier-gutenberg WordPress插件

漏洞概述

CVE-2025-66167是WordPress Lottier插件中的一个高危安全漏洞，属于缺少授权认证（Missing Authorization）类型。该漏洞由PatchStack安全团队发现（[email protected]），存在于lottier-gutenberg插件中，允许具有低权限的攻击者利用配置错误的访问控制安全级别。Lottier插件是一款用于在WordPress网站中创建和管理Lottie动画的Gutenberg编辑器组件，广泛应用于需要动态图形展示的网站。由于该漏洞不需要用户交互且可通过网络远程利用，攻击者可以在获取WordPress站点低权限账户（如订阅者或贡献者角色）后，访问本应需要更高级别权限才能操作的敏感功能。此漏洞影响从n/a版本到1.1.1的所有版本，对使用该插件的WordPress网站构成中等程度的安全威胁。

技术细节

该漏洞属于OWASP Top 10中的A01:2021 - Broken Access Control类别。Lottier插件在实现其Gutenberg块组件时，未正确验证用户权限就允许执行某些管理操作。具体表现为插件的AJAX处理函数或REST API端点缺少current_user_can()或类似权限检查函数。攻击者通过构造恶意请求，指定目标操作的nonce令牌（如果存在），即可绕过前端JavaScript层的权限限制，直接调用后端处理逻辑。由于WordPress的nonce机制主要用于防止CSRF攻击而非真正的权限验证，攻击者可以利用低权限账户获取的nonce执行本应需要管理员权限的操作。漏洞影响插件的核心功能模块，可能导致未经授权的Lottie动画配置修改、插件设置变更或其他敏感操作。

攻击链分析

STEP 1

步骤1

攻击者获取目标WordPress站点的低权限账户（如订阅者、贡献者角色）

STEP 2

步骤2

攻击者登录WordPress并获取有效的nonce令牌和会话cookie

STEP 3

步骤3

攻击者识别Lottier插件的AJAX端点或REST API路由

STEP 4

步骤4

攻击者构造恶意请求，利用缺少权限检查的端点执行本应需要管理员权限的操作

STEP 5

步骤5

服务器处理请求时未验证current_user_can()，直接执行操作并返回结果

STEP 6

步骤6

攻击者成功修改Lottier配置或访问敏感功能，完成漏洞利用

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-66167 PoC - Missing Authorization in Lottier Plugin
# Target: WordPress site with Lottier plugin <= 1.1.1

def check_vulnerability(target_url):
    """
    Check if the target WordPress site is vulnerable to CVE-2025-66167
    """
    # Get WordPress nonce using low-privilege account
    # Note: This PoC demonstrates the concept; actual exploitation requires valid session
    
    target_url = target_url.rstrip('/')
    
    # Common Lottier AJAX endpoints
    endpoints = [
        '/wp-admin/admin-ajax.php',
        '/wp-json/lottier/v1/'
    ]
    
    print(f'[*] Testing target: {target_url}')
    print(f'[*] Vulnerability: Missing Authorization in Lottier <= 1.1.1')
    print(f'[*] CVSS Score: 5.4 (Medium)')
    
    # The vulnerability allows low-privilege users to access admin functions
    # Example: Accessing restricted Lottier settings without proper authorization
    
    # Note: Actual PoC requires authenticated session with subscriber-level access
    # Attacker can then trigger privileged actions that should require admin capabilities
    
    return True

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print('Usage: python cve-2025-66167.py <target_url>')
        sys.exit(1)
    
    check_vulnerability(sys.argv[1])

影响范围

Lottier (lottier-gutenberg) <= 1.1.1

防御指南

临时缓解措施

在官方安全补丁发布之前，建议管理员临时禁用Lottier插件或限制其访问权限。可使用WordPress用户角色管理功能确保订阅者等低权限账户无法访问管理后台。同时应启用Web应用防火墙（WAF）规则监控异常请求模式，并密切关注插件官方更新渠道以获取最新安全补丁。