漏洞概述 WordPress插件 Profile Builder by Cozmoslabs 存在不安全的密码重置机制(Insecure Password Reset Mechanism)及通过Shortcode泄露敏感信息(Sensitive Information Disclosure via Shortcode)的漏洞。 原理:插件的 函数允许查询任意用户元数据(User Meta),且 函数在处理密码重置时,直接使用哈希后的激活密钥( )查询用户。 利用方式:攻击者若拥有低权限账号,可在插件设置中启用“Enable Usermeta shortcode”。随后,攻击者可通过AJAX解析器调用短代码获取目标用户的 。获取该密钥后,攻击者可构造包含该密钥的URL( )来重置任意用户的密码,从而实现权限提升。 影响范围 插件名称: Profile Builder by Cozmoslabs 受影响版本: <= 3.9.0 漏洞类型: 权限提升 (Privilege Escalation), 敏感信息泄露 (Sensitive Information Disclosure) CVE编号: CVE-2023-0814, CVE-2023-2297 修复方案 1. 限制元数据查询: 修改 函数,限制其只能查询非敏感的用户元数据,禁止查询 等敏感字段。 2. 改进密码重置逻辑: 审查 函数,确保密码重置流程的安全性,避免直接通过哈希密钥进行用户查询或重置操作。 3. 移除或限制短代码: 除非在严格的安全上下文中,否则应移除或限制 短代码的使用。 POC/利用代码 1. Python 脚本 (获取 user_activation_key) 2. 获取到的 Key 示例 3. 利用 URL (重置密码)