CVE-2025-5947 漏洞场景剖析

漏洞描述:

WordPress中的服务查找器Bookings插件存在特权提升漏洞,该漏洞可通过绕过认证的方式在所有版本中出现,包括版本6.0。这是由于插件在通过service_finder_switch_back()函数登录用户之前,未能正确验证用户的cookie值。这使得未经身份验证的攻击者可以登录为任何用户,包括管理员。

Service Finder Bookings 插件

Service Finder Bookings 是一款专注于 预约服务管理 的 WordPress 插件,适用于需要在线预订、服务目录展示及客户管理的场景,帮助商家提升客户体验并优化运营效率。常见于医疗诊所、健身中心、法律咨询、美容美发等行业。

主要功能模块

✅ 服务目录管理 | ✅ 日历与预约系统 | ✅ 客户交互功能

✅ 支付与订单管理 | ✅ 后台管理工具

一、漏洞基本信息

|-------|-----------------------------------------------------------|
| CVE编号 | CVE-2025-5947 |
| 漏洞名称 | WordPress Service Finder Bookings插件身份验证绕过漏洞(通过用户切换Cookie) |
| 影响组件 | Service Finder Bookings插件(所有≤6.0版本) |
| 风险等级 | 严重(CVSS 3.1评分9.8,最高10.0) |
| 公开时间 | 2025年7月31日 |
| 更新时间 | 2025年8月1日 |
| 披露平台 | Wordfence Intelligence漏洞数据库、阿里云漏洞库 |

Wordfence Intelligence漏洞数据库

阿里云漏洞库

二、 漏洞技术原理

正常业务逻辑流程图(未漏洞状态)

1. 功能设计缺陷

Service Finder Bookings插件提供"用户切换"功能在正常逻辑中,该功能应通过验证Cookie的合法性、关联用户身份及会话状态来确保安全切换。

2. 漏洞核心问题

❌ 缺少签名验证 | ❌ 未校验用户关联性 | ❌ 绕过会话状态检查

3 . 漏洞触发点定位

关键文件: includes/functions.php

原始代码逻辑:

php 复制代码
function service_finder_switch_back() {

    // 1. 获取Cookie值(无任何验证)

    $user_cookie = $_COOKIE['service_finder_user'];

   

    // 2. 解析Cookie参数(直接分割字符串,未验证合法性)

    parse_str($user_cookie, $params);

   

    // 3. 直接使用Cookie中的用户ID恢复会话(未校验用户存在性)

    $user_id = isset($params['sf_user_id']) ? intval($params['sf_user_id']) : 0;

    wp_set_current_user($user_id);  // 直接设置当前用户!无权限二次校验

   

    // 4. 重定向到用户后台

    wp_redirect(admin_url());

    exit;

}

add_action('init', 'service_finder_switch_back');

漏洞根源:

①未验证Cookie来源: 直接信任$_COOKIE['service_finder_user']的值,未检查是否由服务器生成。

②无签名校验: Cookie未经过HMAC等签名算法加密,攻击者可任意篡改sf_user_id。

③跳过身份验证: wp_set_current_user()前未调用current_user_can()或wp_verify_nonce进行权限校验。

三、攻击场景还原

漏洞利用流程图(攻击路径)

四、影响范围与危害

1. 受影响对象

所有部署Service Finder Bookings ≤6.0版本的WordPress网站,尤其是提供预约服务、企业服务的平台(如医疗诊所、律所、服务中介网站)。

特别是依赖插件用户切换功能的站点,此类功能常被用于内部协作或客户管理,增加了攻击面。

2. 潜在危害

①未授权访问:攻击者可直接登录任意用户账户,包括超级管理员、编辑、作者等特权角色。

②数据泄露:访问敏感信息(用户隐私、订单数据、财务记录)。

③恶意篡改:修改网站内容、插入钓鱼链接或恶意代码(如XSS、后门)。

④服务中断:删除关键插件/主题文件,导致网站瘫痪。

⑤横向渗透:以被入侵WordPress站点为跳板,攻击同一网络内的其他系统。

、修复与缓解措施

更新插件:立即将Service Finder Bookings升级至官方发布的6.0以上安全版本(确认补丁是否修复此漏洞)。

官方渠道:插件官网、WordPress插件库(https://wordpress.org/plugins/service-finder-bookings/)。

临时缓解:若无法立即更新,通过以下方式禁用用户切换功能:

  1. 进入WordPress后台,找到插件设置页面,关闭"用户切换"或"角色预览"功能(若有)。

  2. 直接修改插件代码:定位service-finder-bookings/includes/functions.php,注释或删除service_finder_switch_back()函数相关逻辑(需备份文件,避免更新覆盖)。

、总结与启示

CVE-2025-5947暴露了WordPress生态中常见的"功能越权"风险------看似无害的用户切换功能,因缺乏输入验证和会话保护,成为高危漏洞的入口。开发者需遵循"最小权限原则",对涉及用户身份的核心功能进行多层验证(如签名校验、会话绑定、权限二次确认)。

相关推荐
TGC达成共识4 分钟前
解锁处暑健康生活
人工智能·科技·其他·安全·生活·美食·风景
jokr_22 分钟前
C++ STL 顶层设计与安全:迭代器、失效与线程安全
java·c++·安全
johnny2331 小时前
大模型安全概述、LlamaFirewall
安全·语言模型
yongui478342 小时前
基于MATLAB/Simulink的单机带负荷仿真系统搭建
网络·matlab
咪咕科技3 小时前
平安产险青海分公司助力国家电投黄河公司安全生产
安全
岛屿旅人3 小时前
欧盟《人工智能法案》生效一年主要实施进展概览(一)
网络·人工智能·安全·web安全·网络安全
网络研究院5 小时前
工业网络安全:保护制造系统和数据
网络·安全·系统·数据·工业·保护
Xasxxs6 小时前
【网络安全】XSS漏洞——PortSwigger靶场-DOM破坏
javascript·安全·web安全·xss
岛屿旅人7 小时前
欧盟《人工智能法案》生效一年主要实施进展概览(二)
网络·人工智能·安全·web安全·架构
武文斌777 小时前
计算机网络:服务器处理多客户端(并发服务器)
网络·计算机网络