漏洞概述
WordPress 插件 weMail(用于邮件营销、潜在客户生成、订阅表单、邮件简报、A/B 测试和自动化)在 2.0.7 及更早版本中存在授权绕过漏洞。攻击者可利用该漏洞,在未认证的情况下通过伪造 HTTP 请求头冒充管理员用户,从而访问 CSV 订阅者数据接口,可能导致用户个人身份信息(如邮箱、姓名、电话号码)被非法获取。
漏洞详情
- CVE 编号:CVE-2025-14348
- 漏洞类型:授权绕过(CWE-285:Improper Authorization)
- CVSS 评分:5.3(中危),CVSS 向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
- 影响版本:weMail 插件所有版本 ≤ 2.0.7
影响范围
所有使用 weMail WordPress 插件且版本在 2.0.7 及以下的网站均受影响。特别是当站点允许通过 REST API 列出用户(如 /wp-json/wp/v2/users)时,攻击者可轻易枚举管理员邮箱地址,进而实施用户冒充。
风险分析
该漏洞允许未经身份验证的远程攻击者通过构造包含 x-wemail-user 请求头的 HTTP 请求,绕过正常的身份验证机制,直接访问本应受权限保护的 CSV 订阅者数据接口。由于插件未验证请求是否来自已认证的 WordPress 会话,攻击者一旦获知或猜中管理员邮箱(可通过公开 API 枚举),即可获取导入的订阅者个人信息(PII),造成敏感数据泄露。
修复建议
- 立即升级 weMail 插件至 2.0.8 或更高版本,该版本已修复此授权验证缺陷。
- 若无法立即升级,建议临时禁用 weMail 插件,或通过 Web 应用防火墙(WAF)规则拦截包含
x-wemail-user头的非本地请求。
