CVE-2025-12529 WordPress Cost Calculator Builder 任意文件删除漏洞

漏洞信息

漏洞编号

CVE-2025-12529

漏洞类型

任意文件删除/远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Cost Calculator Builder (WordPress插件)

漏洞概述

WordPress Cost Calculator Builder插件存在严重的安全漏洞，攻击者可通过利用deleteOrdersFiles()函数中的文件路径验证不足，实现任意文件删除。该漏洞影响3.6.3及以下所有版本。当管理员删除订单时，未经身份验证的攻击者可以向订单中注入任意文件路径。由于该插件需要Pro版本配合免费版本才能完整利用，攻击者首先需要安装并激活两个版本的插件。一旦攻击者删除了关键的wp-config.php文件，WordPress安装将被破坏，攻击者可以重新安装并完全控制网站，从而实现远程代码执行。此漏洞无需任何认证，攻击门槛较低，危害极大。

技术细节

漏洞根源在于Cost Calculator Builder插件的CCBOrderController.php文件中的deleteOrdersFiles()函数（第262行和第513行附近）。该函数在处理文件删除时缺少充分的路径验证和清理机制，允许攻击者通过构造特殊的文件路径参数来实现路径遍历和任意文件删除。攻击者可以将恶意文件路径注入到订单数据中，当管理员查看或删除这些订单时，触发文件删除操作。具体利用需要以下条件：1）安装Cost Calculator Builder免费版和Pro版；2）创建一个包含恶意文件路径的订单；3）诱使管理员删除该订单；4）当管理员执行删除操作时，wp-config.php等关键文件被删除，导致网站重新初始化，攻击者获得完全控制权。CVSS向量显示攻击复杂度低，无需认证但需要用户交互，这符合该漏洞的利用特性。

攻击链分析

STEP 1

步骤1

攻击者访问目标WordPress网站，确认安装了Cost Calculator Builder插件（免费版+Pro版）

STEP 2

步骤2

攻击者通过插件的订单提交功能，向订单数据中注入恶意文件路径（如../../../../wp-config.php）

STEP 3

步骤3

攻击者诱使网站管理员访问订单管理页面并删除包含恶意路径的订单

STEP 4

步骤4

管理员执行删除操作时，deleteOrdersFiles()函数被触发，由于缺少路径验证，wp-config.php被删除

STEP 5

步骤5

wp-config.php被删除后，WordPress安装被破坏，攻击者访问网站时触发重新安装流程

STEP 6

步骤6

攻击者利用重新安装的机会，配置数据库连接信息并植入恶意代码，实现远程代码执行和完全控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2025-12529 PoC - Arbitrary File Deletion
# WordPress Cost Calculator Builder < 3.6.4

target_url = "http://target-wordpress-site.com"

# Step 1: Identify WordPress and Cost Calculator Builder
def check_vulnerability():
    """
    Check if target is vulnerable to CVE-2025-12529
    This requires Cost Calculator Builder plugin (free + pro) installed
    """
    
    # Step 2: Inject malicious file path into order
    # The deleteOrdersFiles() function will delete arbitrary files
    
    # Payload to delete wp-config.php
    payload = {
        "order_data": {
            "file_path": "../../../../wp-config.php",
            "filename": "wp-config.php"
        }
    }
    
    # This would typically be done through the plugin's order submission endpoint
    # The exact endpoint depends on the plugin's REST API routes
    
    print("CVE-2025-12529 - Arbitrary File Deletion PoC")
    print("Target: " + target_url)
    print("Payload: " + json.dumps(payload))
    print("Note: Requires admin interaction to trigger file deletion")

if __name__ == "__main__":
    check_vulnerability()

影响范围

Cost Calculator Builder (免费版) < 3.6.4

Cost Calculator Builder Pro < 3.6.4

所有版本 up to 3.6.3

防御指南

临时缓解措施

临时缓解措施：1）立即禁用Cost Calculator Builder插件；2）检查并恢复被删除的wp-config.php文件（如有备份）；3）检查网站是否存在异常的管理员账户或文件；4）启用WordPress文件的完整性监控；5）限制订单删除功能的访问权限，仅允许受信任的管理员操作；6）使用安全插件监控文件系统的异常变更。