WordPress WP All Import插件高危漏洞分析:条件逻辑导致的远程代码执行

本文详细分析了CVE-2025-12733漏洞,该漏洞影响WordPress的WP All Import插件3.9.6及以下版本,允许认证攻击者通过条件逻辑功能实现远程代码执行,涉及eval()函数对未净化用户输入的处理问题。

CVE-2025-12733 - 通过条件逻辑在WordPress WP All Import插件中的认证远程代码执行

概述

漏洞描述

WordPress的Import any XML, CSV or Excel File to WordPress(WP All Import)插件在3.9.6及以下所有版本中存在远程代码执行漏洞。该漏洞是由于在helpers/functions.php文件中的pmxi_if函数中对未净化的用户提供输入使用了eval()函数。这使得具有导入功能(通常是管理员)的认证攻击者能够通过特制的导入模板在服务器上注入和执行任意PHP代码,从而导致远程代码执行。

漏洞时间线

  • 发布日期:2025年11月13日 上午4:15
  • 最后修改:2025年11月13日 上午4:15
  • 远程利用:是
  • 来源:security@wordfence.com

受影响产品

以下产品受到CVE-2025-12733漏洞影响。即使cvefeed.io知道受影响产品的确切版本,下表中也未显示该信息。

尚无受影响产品记录

总计受影响供应商:0 | 产品:0

CVSS评分

通用漏洞评分系统是评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS分数。

分数 版本 严重程度 向量 可利用性分数 影响分数 来源
8.8 CVSS 3.1 2.8 5.9 security@wordfence.com
8.8 CVSS 3.1 2.8 5.9 MITRE-CVE

解决方案

  • 更新WP All Import插件到解决远程代码执行漏洞的版本
  • 更新WP All Import插件到最新版本
  • 移除或净化由pmxi_if函数处理的用户提供输入
  • 应用供应商提供的安全补丁
  • 审查并限制用户的导入功能

参考链接

以下是与CVE-2025-12733相关的深度信息、实用解决方案和有价值工具的外部链接精选列表。

URL 资源
https://plugins.trac.wordpress.org/browser/wp-all-import/tags/3.9.6/helpers/functions.php#L79
https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3393968%40wp-all-import&new=3393968%40wp-all-import&sfp_email=&sfph_mail=
https://www.wordfence.com/threat-intel/vulnerabilities/id/8475dd90-b47a-42b4-8e4e-44e8512e4fca?source=cve

CWE - 通用弱点枚举

虽然CVE识别特定的漏洞实例,但CWE对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-12733与以下CWE相关联:

CWE-94:代码生成的不当控制(代码注入)

通用攻击模式枚举和分类(CAPEC)

通用攻击模式枚举和分类(CAPEC)存储攻击模式,这些模式描述了对手利用CVE-2025-12733弱点所采用的常见属性和方法。

  • CAPEC-35:在不可执行文件中利用可执行代码
  • CAPEC-77:操作用户控制的变量
  • CAPEC-242:代码注入

漏洞历史详情

漏洞历史详情可用于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

新CVE接收 由security@wordfence.com于2025年11月13日

操作 类型 旧值 新值
添加 描述 WordPress的Import any XML, CSV or Excel File to WordPress(WP All Import)插件在3.9.6及以下所有版本中存在远程代码执行漏洞。该漏洞是由于在helpers/functions.php文件中的pmxi_if函数中对未净化的用户提供输入使用了eval()函数。这使得具有导入功能(通常是管理员)的认证攻击者能够通过特制的导入模板在服务器上注入和执行任意PHP代码,从而导致远程代码执行。
添加 CVSS V3.1 AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
添加 CWE CWE-94
添加 参考 https://plugins.trac.wordpress.org/browser/wp-all-import/tags/3.9.6/helpers/functions.php#L79
添加 参考 https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3393968%40wp-all-import&new=3393968%40wp-all-import&sfp_email=&sfph_mail=
添加 参考 https://www.wordfence.com/threat-intel/vulnerabilities/id/8475dd90-b47a-42b4-8e4e-44e8512e4fca?source=cve

漏洞评分详情

CVSS 3.1

基础CVSS分数:8.8

  • 攻击向量:网络
  • 攻击复杂性:低
  • 所需权限:低
  • 用户交互:无
  • 范围:未改变
  • 机密性影响:高
  • 完整性影响:高
  • 可用性影响:高
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次