FOLKS-iwd/CVE-2025-68999-POC

# CVE-2025-68999 **Happy Addons for Elementor <= 3.20.4** — 认证用户（贡献者及以上）二级 SQL 注入 | | | |---|---| | **CVSS** | 8.5 高危 | | **受影响版本** | <= 3.20.4 | | **已修复版本** | 3.20.6 | | **最低权限角色** | 贡献者（`edit_posts`） | | **攻击向量** | 网络 / 低复杂度 / 低权限 | ## 漏洞详情 `classes/clone-handler.php` 中的 `duplicate_meta_entries()` 使用手工编写的批量 INSERT 将文章元数据行复制到克隆的文章中。它通过 `$wpdb->prepare()` 安全地获取行数据，但随后将 `$entry->meta_key` 直接拼接到 SQL 字符串中未进行转义： ``` $_records[] = "( $duplicated_post_id, '{$entry->meta_key}', '{$_value}' )"; // ... $wpdb->query( $query ); ``` 因为 `meta_key` 来自数据库，代码将其视为可信数据。但贡献者可以通过自定义字段面板设置任意字段名——因此他们控制该列的内容。 攻击分为两步： 1. **写入：** 将恶意字符串存储为自定义字段名称。`add_post_meta()` 会安全处理此操作——载荷会存入数据库而不会执行任何内容。 2. **触发：** 点击“快乐克隆”。`duplicate_meta_entries()` 读取键名并将其拼接到原始 INSERT 语句中。MySQL 执行注入的子查询。 静态分析无法发现此问题，因为危险数据的来源是数据库读取（`$wpdb->get_results()`），污点引擎会将其标记为已清理。存储边界打破了污点链。 ## 影响 任何贡献者均可提取： - 所有用户的密码哈希（离线破解 — hashcat 模式 400） - WordPress 密钥/盐值（伪造持久性认证 Cookie） - `wp_options` 中的任意行（API 密钥、支付凭证） - 私有文章内容 披露时受影响安装量超过 400,000 次。 ## 使用方法 ``` pip install requests python3 poc.py https://target.com contributor p4ss ``` 该脚本通过 HTTP 进行身份验证，将注入载荷存储为自定义字段名称，触发“快乐克隆”操作，并从克隆文章的元字段中读取泄露的哈希值。输出保存至 `hash.txt`。 ``` hashcat -m 400 hash.txt rockyou.txt ``` ## 完整分析报告 https://folks-iwd.github.io/writeups/cve-2025-68999.html ## 披露时间线 | 日期 | 事件 | |------|-------| | 2025 年 12 月 | 通过 SVN 差异发现。PoC 确认。 | | 2025 年 12 月 | 向 Patchstack Alliance 报告并提供完整分析报告与 PoC。 | | 2026 年 1 月 | weDevs 在 v3.20.6 中发布修复。 | | 2026 年 1 月 23 日 | CVE-2025-68999 发布。CVSS 评分 8.5 高危。 | ## 修复方案 weDevs 使用以下方式替换了手工编写的 INSERT： ``` foreach ( $entries as $entry ) { update_post_meta( $duplicated_post_id, $entry->meta_key, $entry->meta_value ); } ``` `update_post_meta()` 内部会调用 `$wpdb->update()`，并对键和值使用预处理语句。

标签：Authenticated Contributor+, CVE-2025-68999, Happy Addons for Elementor, PoC利用, Second-Order SQL Injection, WordPress安全, WordPress插件漏洞, 元数据注入, 批量插入, 插件安全, 操作系统监控, 数据库注入, 文档安全, 污点分析, 漏洞披露, 演示模式, 逆向工具, 黑客利用