CVE-2025-13077CVE-2025-13077是WordPress平台下一款名为payamito SMS WooCommerce的短信插件中存在的高危安全漏洞。该插件主要用于WooCommerce电商系统发送短信通知。漏洞类型为基于时间的盲注SQL注入(Time-based Blind SQL Injection),存在于插件的'columns'参数中。由于插件在处理用户输入的'columns'参数时未进行充分的转义处理,且SQL查询缺少必要的预编译语句准备,攻击者可以在未经身份验证的情况下向现有SQL查询注入额外的SQL语句,从而访问数据库中的敏感信息。此漏洞影响该插件1.3.5及以下所有版本。由于SQL注入攻击可以通过时间延迟函数(如SLEEP())来判断SQL执行结果,攻击者可以逐步提取数据库中的用户名、密码哈希、订单信息、客户数据等敏感内容。鉴于该插件在电商网站中的广泛使用,此漏洞可能影响大量在线商店的账户安全和交易数据安全。
该SQL注入漏洞位于payamito SMS WooCommerce插件的admin/class-payamito-admin.php文件第64行附近。漏洞根源在于用户通过'columns'参数输入的数据直接拼接到SQL查询语句中,而未经过适当的参数化查询处理。在WordPress插件架构中,admin处理函数直接接收GET或POST请求中的'columns'参数,并将其传递给数据库查询层。攻击者可以利用这一缺陷,通过构造特殊的SQLPayload,如:columns=id),(SELECT(SLEEP(5)))--,来触发基于时间的盲注攻击。攻击原理是利用MySQL的SLEEP()函数让数据库执行产生延迟,通过观察响应时间的差异来判断SQL条件是否成立。攻击者可以逐步构造条件判断语句,通过二分法或逐字符猜解的方式提取数据库中的敏感信息,如wp_users表中的用户凭证、wp_options表中的配置信息等。由于该插件使用WordPress的$wpdb对象进行数据库操作,攻击者还可以利用UNION注入或堆叠查询来执行更复杂的攻击。