CVE-2025-14476 CVSS 8.8 高危

CVE-2025-14476 WordPress Doubly插件PHP对象注入漏洞

披露日期: 2025-12-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14476

漏洞类型

PHP对象注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Doubly – Cross Domain Copy Paste for WordPress

漏洞概述

这是一个WordPress插件中的严重安全漏洞。Doubly插件（Cross Domain Copy Paste）在处理上传的ZIP压缩包时存在PHP对象注入漏洞。攻击者可以利用此漏洞通过上传包含恶意序列化对象的ZIP文件来执行任意代码、删除文件或获取敏感信息。漏洞需要攻击者具有至少Subscriber级别的权限才能利用。

技术细节

漏洞源于插件在解压ZIP文件时直接反序列化content.txt文件内容而未进行充分验证。攻击者可以构造包含恶意序列化对象的ZIP文件，当管理员或具有足够权限的用户导入该文件时，恶意对象会被反序列化并触发攻击。

攻击链分析

STEP 1

准备阶段

构造包含恶意序列化对象的ZIP文件

STEP 2

上传阶段

通过插件上传功能提交恶意ZIP文件

STEP 3

触发阶段

ZIP文件被解压，content.txt内容被反序列化

STEP 4

执行阶段

利用POP链执行任意代码或敏感操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

生成恶意ZIP文件，其中包含序列化的PHP对象，利用已知的POP链执行代码。

影响范围

Doubly插件 < 1.0.47

防御指南

临时缓解措施

暂时禁用插件或限制用户上传权限，直到完成安全更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表