行业新闻与博客

RealHomes CRM 插件存在安全漏洞，该插件与 WordPress 主题捆绑在一起，安装在超过 30,000 个网站上。研究人员发现该漏洞可能允许低权限用户上传恶意文件并控制受影响的网站，目前该漏洞已被修复。

该漏洞影响 RealHomes CRM 1.0.0 及更早版本，允许任何拥有订阅者级别或更高权限的已登录用户通过 CSV 导入功能上传任意文件。如果被利用，该漏洞可能被用于在服务器上植入恶意代码，最终导致网站完全被控制。

RealHomes CRM 包含在由 InspiryThemes 开发的 RealHomes WordPress 主题中。该主题广泛用于构建房地产网站。它提供高级房源搜索、多重房源布局、前端提交和管理、通过 PayPal 和 Stripe 集成支付以及支持 Elementor 等页面构建器等工具。 

该漏洞已被分配编号 CVE-2025-67968，由 Patchstack Alliance 社区成员 wackydawg 发现并报告。该漏洞位于负责处理 CSV 文件上传的 Ajax 函数中。

虽然该功能使用 nonce 进行请求验证，但订阅用户可以通过管理页面和前端页面检索该 nonce 。

上传机制为何存在风险

进一步分析表明，上传过程缺少几项基本的安全控制措施。特别是，没有检查用户是否拥有执行该操作所需的足够权限，也没有在文件写入服务器之前验证文件类型或扩展名。

主要问题包括：

• 缺少权限检查，无法限制对特权用户的访问

• 接受任意文件上传，而不仅仅是 CSV 文件。

• 直接使用文件上传功能，无需额外验证

为此，开发人员发布了 RealHomes CRM 1.0.1 版本，该版本引入了 current_user_can 权限检查，以确保只有授权用户才能访问上传功能。此补丁还使用 WordPress 的 wp_check_filetype 函数添加了文件类型和扩展名验证。

此次披露旨在提醒人们，nonce 值本身并不能替代适当的访问控制。正如 WordPress 文档所述，“nonce 值绝不应用于身份验证、授权或访问控制。”

建议 RealHomes CRM 用户更新至最新版本，以降低风险。