行業新聞與博客

RealHomes CRM 插件存在安全漏洞，該插件與 WordPress 主題捆綁在一起，安裝在超過 30,000 個網站上。研究人員發現該漏洞可能允許低權限用户上傳惡意文件並控制受影響的網站，目前該漏洞已被修復。

該漏洞影響 RealHomes CRM 1.0.0 及更早版本，允許任何擁有訂閲者級別或更高權限的已登錄用户通過 CSV 導入功能上傳任意文件。如果被利用，該漏洞可能被用於在服務器上植入惡意代碼，最終導致網站完全被控制。

RealHomes CRM 包含在由 InspiryThemes 開發的 RealHomes WordPress 主題中。該主題廣泛用於構建房地產網站。它提供高級房源搜索、多重房源佈局、前端提交和管理、通過 PayPal 和 Stripe 集成支付以及支持 Elementor 等頁面構建器等工具。 

該漏洞已被分配編號 CVE-2025-67968，由 Patchstack Alliance 社區成員 wackydawg 發現並報告。該漏洞位於負責處理 CSV 文件上傳的 Ajax 函數中。

雖然該功能使用 nonce 進行請求驗證，但訂閲用户可以通過管理頁面和前端頁面檢索該 nonce 。

上傳機制為何存在風險

進一步分析表明，上傳過程缺少幾項基本的安全控制措施。特別是，沒有檢查用户是否擁有執行該操作所需的足夠權限，也沒有在文件寫入服務器之前驗證文件類型或擴展名。

主要問題包括：

• 缺少權限檢查，無法限制對特權用户的訪問

• 接受任意文件上傳，而不僅僅是 CSV 文件。

• 直接使用文件上傳功能，無需額外驗證

為此，開發人員發佈了 RealHomes CRM 1.0.1 版本，該版本引入了 current_user_can 權限檢查，以確保只有授權用户才能訪問上傳功能。此補丁還使用 WordPress 的 wp_check_filetype 函數添加了文件類型和擴展名驗證。

此次披露旨在提醒人們，nonce 值本身並不能替代適當的訪問控制。正如 WordPress 文檔所述，“nonce 值絕不應用於身份驗證、授權或訪問控制。”

建議 RealHomes CRM 用户更新至最新版本，以降低風險。