CVE-2025-11627CVE-2025-11627是WordPress插件"Site Checkup Debug AI Troubleshooting with Wizard and Tips for Each Issue"中的一个安全漏洞。该漏洞存在于所有版本直至1.47版本,属于日志文件污染(Log File Poisoning)类型。漏洞源于该插件在处理错误日志时缺乏适当的输入验证和访问控制机制,允许未认证的攻击者能够向日志文件中插入任意内容。攻击者可以利用此漏洞向日志文件写入大量垃圾数据或恶意内容,导致磁盘空间耗尽,从而造成拒绝服务(DoS)攻击。此外,污染后的日志文件可能干扰系统管理员对真实错误的判断,影响故障排查和系统监控。由于该漏洞无需认证即可利用,且攻击复杂度较低,因此具有较高的实际威胁性。建议受影响的用户尽快升级到最新版本或采取临时缓解措施。
该漏洞主要存在于插件的日志处理模块中。根据代码分析,漏洞位于includes/catch-errors/class_bill_catch_errors.php文件的第80行附近。插件在记录错误日志时,直接将用户输入或请求数据写入日志文件,而没有对内容进行适当的过滤、转义或长度限制。攻击者可以通过发送特制的HTTP请求(如包含恶意payload的URL参数、POST数据或HTTP头信息)来触发日志记录功能。由于插件未验证请求来源且未限制写入内容,攻击者可以向日志文件注入任意文本内容,包括大量重复字符或特殊构造的数据。多次利用此漏洞会导致日志文件体积快速膨胀,最终填满服务器磁盘空间,导致网站服务中断。此外,攻击者还可能通过注入特定格式的日志条目来干扰日志分析工具的正常工作。修复版本在3380169变更集中针对此问题进行了改进。