CVE-2025-10660CVE-2025-10660是WordPress WP Dashboard Chat插件中存在的一个SQL注入漏洞。该漏洞由Wordfence安全团队的安全研究员发现并披露,披露日期为2025年10月15日。WP Dashboard Chat是一款用于WordPress仪表盘的聊天插件,允许用户在WordPress后台进行即时通讯交互。该插件在1.0.3及之前的所有版本中,其'id'参数存在SQL注入风险。
根据CVSS 3.1评分体系,该漏洞的评分为6.5分,属于中危级别。漏洞的攻击向量为网络(AV:N),攻击复杂度低(AC:L),但需要低权限认证(PR:L),无需用户交互(UI:N)。在影响方面,该漏洞对机密性影响为高(C:H),对完整性和可用性无影响。这意味着攻击者可以利用该漏洞从数据库中提取敏感信息,但无法修改或破坏数据,也无法导致服务中断。
该漏洞的危害在于,WordPress站点中拥有Contributor(投稿者)级别及以上权限的认证用户,可以通过构造恶意的SQL注入payload,利用插件中未充分转义和未使用预处理语句的'id'参数,向现有SQL查询中追加额外的SQL语句,从而实现对数据库的非授权访问。攻击者可能借此窃取用户凭证、管理员密码哈希、个人隐私数据等敏感信息。
该漏洞的核心问题在于WP Dashboard Chat插件在处理用户输入的'id'参数时,未对其进行充分的转义处理,也未使用WordPress推荐的$wpdb->prepare()预处理语句机制来构建SQL查询,而是直接将用户输入拼接到SQL查询字符串中。
从技术层面分析,漏洞存在于wp-dashboard-chat.php文件的第99行和第207行附近。在这些代码位置,插件接收用户通过请求传递的'id'参数值,并将其直接嵌入到SQL查询语句中,用于数据库的查询操作。由于缺乏对特殊字符(如单引号、双引号、分号、SQL注释符等)的过滤和转义,攻击者可以通过构造包含恶意SQL片段的输入,突破原有查询的语义边界。
利用方式上,攻击者首先需要拥有一个Contributor级别及以上权限的WordPress账户(可通过注册或社工获取)。随后,攻击者向目标插件的接口发送包含恶意SQL注入payload的HTTP请求,例如通过UNION SELECT语句附加额外的查询,从而从wp_users等关键数据表中提取敏感信息。典型的注入payload可能形如:1 UNION SELECT user_login,user_pass FROM wp_users-- 。
由于该漏洞需要认证才能利用(PR:L),且仅影响机密性(C:H),其整体风险被评定为中危。但对于持有Contributor账户的内部威胁者或被攻陷的低权限账户而言,该漏洞可作为权限提升和数据窃取的关键跳板。