緊急：DocoDoco 商店定位器 (≤ 1.0.1) — 經過身份驗證的 (編輯+) 任意檔案上傳漏洞及您現在必須採取的行動

日期： 2025年10月15日
作者： 香港安全專家

本公告涉及一個影響 DocoDoco 商店定位器版本 ≤ 1.0.1 的關鍵問題 (CVE-2025-10754)。該缺陷允許具有編輯權限 (或更高) 的經過身份驗證的用戶將任意檔案上傳到網站。該漏洞的 CVSS 為 7.2，並且在發布時，尚無供應商修補程式可用。如果您的 WordPress 網站上安裝了此插件，請仔細閱讀並立即採取行動。.

快速摘要 (針對網站管理員)

• DocoDoco 商店定位器 (≤ 1.0.1) 包含一個需要編輯角色或以上的經過身份驗證的任意檔案上傳漏洞。.
• 擁有編輯訪問權限的攻擊者可以上傳 PHP 後門/網頁外殼，導致遠程代碼執行、持久存在和數據盜竊。.
• 目前尚無官方修補程式。需要立即緩解：移除或禁用插件，限制編輯者上傳能力，掃描上傳的檔案以檢查惡意檔案，輪換憑證，並在可能的情況下通過您的主機或安全設備應用虛擬修補。.
• 如果您運營多個網站或管理客戶，請優先處理風險最高的網站 (高流量、多編輯者、用戶生成內容)。.

為什麼這是嚴重的

任意檔案上傳漏洞對內容管理系統的影響很大：

• 攻擊者可以植入 PHP 後門或網頁外殼，允許執行命令和完全控制網站。.
• 上傳的檔案可以偽裝 (雙擴展名、重命名檔案)，並且可以直接或通過本地檔案包含漏洞執行。.
• 編輯權限通常授予內容創建和媒體操作，這在實踐中足以實現完全接管，如果上傳被濫用。.
• 已知的未修補漏洞會吸引自動掃描和大規模利用。及時緩解顯著減少暴露時間。.

高級利用流程

1. 攻擊者獲得編輯級別的訪問權限 (帳戶被攻擊、憑證盜竊、社交工程)。.
2. 攻擊者通過插件的上傳端點或管理界面上傳惡意檔案。.
3. 不足的驗證/存儲允許 PHP 或可執行內容存儲在可通過網絡訪問的位置。.
4. 攻擊者觸發檔案執行命令，轉移或建立持久後門。.

您必須採取的立即步驟（事件響應檢查清單）

如果您的網站使用 DocoDoco Store Locator (≤ 1.0.1)，請立即執行以下操作：

1. 將網站置於維護或有限模式，以減少攻擊者的影響。.
2. 停用或移除 DocoDoco Store Locator 插件。如果您無法立即移除，請通過 SFTP/SSH 重新命名插件資料夾，以防止插件代碼加載：

   sudo mv wp-content/plugins/docodoco-store-locator wp-content/plugins/docodoco-store-locator.disabled

3. 強制所有管理員和編輯重置密碼。強制重置任何具有上傳、編輯或發布權限的用戶的密碼。.
4. 撤銷並重新發放與該網站相關的任何 API 密鑰、集成憑證或外部令牌。.
5. 在 wp-config.php 中旋轉 WordPress 的鹽和密鑰，以使現有會話失效。.
6. 掃描 wp-content/uploads 和其他可寫目錄中的最近或可疑文件（請參見獵捕和檢測）。.
7. 審核披露日期後創建的用戶帳戶；及時刪除不熟悉的帳戶。.
8. 檢查計劃任務（wp-cron）、主題/插件文件修改、.htaccess 和 wp-config.php 是否有未經授權的更改。.
9. 如果存在妥協指標（webshells、未知進程、後門），請隔離網站並立即聯繫專業事件響應者或您的主機。.
10. 如果您無法確保乾淨狀態，請從妥協前的已知良好備份中恢復。.

在可能的情況下，與您的主機提供商或安全運營團隊協調這些步驟，以便他們可以協助進行網絡級別的遏制和虛擬修補。.

獵捕和檢測：現在要運行的命令和檢查

使用以下檢查來檢測可疑的上傳或修改。根據您的環境調整命令。.

搜索上傳中的最近或可疑文件

find wp-content/uploads -type f -mtime -30 -printf '%TY-%Tm-%Td %TT %p

find wp-content/uploads -type f \( -iname '*.php' -o -iname '*.phtml' -o -iname '*.php5' -o -iname '*.php7' \) -print

grep -R --line-number --exclude-dir=cache --exclude-dir=logs '<?php' wp-content/uploads || true

find wp-content/uploads -type f -regextype posix-extended -regex '.*\.(php|phtml|php5|php7|phar|pl|py)$' -print

檢查已修改的核心/插件/主題文件

find . -type f -name '*.php' -mtime -30 -printf '%TY-%Tm-%Td %TT %p

檢查用戶和選項（建議使用 WP-CLI）

wp user list --fields=ID,user_login,user_email,roles,user_registered

wp option get active_plugins

檢查 .htaccess

tail -n 200 .htaccess

使用惡意軟件掃描器檢測 webshell 模式。隔離可疑文件並調查其創建時間戳和上傳者帳戶。.

你現在可以應用的短期緩解措施

1. 禁用或移除插件——這是最可靠的立即緩解措施。.
2. 防止在上傳目錄中執行 PHP：

   Apache（在 wp-content/uploads 下的 .htaccess）：

   <FilesMatch "\.(php|phtml|php5|php7|phar)$">
     Deny from all
   </FilesMatch>

   Nginx：添加位置規則以拒絕在上傳中執行，或請你的主機實施更改。.

3. 暫時從編輯者角色中移除 upload_files 權限，直到插件修補：

   wp role remove-cap editor upload_files

   注意：這會降低編輯者的功能。與內容團隊溝通變更。.

4. 加強上傳處理：限制接受的 MIME 類型並檢查上傳邊界的內容。.
5. 在你的 WAF 上應用虛擬修補規則，或請你的主機阻止插件特定的端點和可疑的上傳模式。.
6. 監控對插件端點的 POST 請求日誌、意外的文件上傳或內容類型不匹配。.

建議的 WAF 規則 / 簽名（概念性）

這些是針對操作員的高級規則想法；首先在檢測模式下測試以避免誤報。.

• 除非經過身份驗證的用戶是管理員或請求來自受信任的 IP 集，否則阻止對插件的上傳端點的上傳。條件：請求路徑匹配 /wp-content/plugins/docodoco-store-locator/*upload* 或 admin-ajax 動作等於插件上傳動作。.
• 拒絕包含 PHP 開放標籤的 multipart/form-data 上傳（例如，<?php 或常見的混淆）。.
• 拒絕具有雙重擴展名的文件名（例如，image.php.jpg）或可執行擴展名。使用正則表達式匹配不允許的擴展名。.
• 強制 MIME 嗅探：當聲明的 MIME 為 image/* 但文件標頭顯示為 text/php 時阻止。.
• 阻止可疑的用戶代理和對插件路徑的重複自動上傳嘗試。.

與您的主機協調規則部署以避免中斷。.

長期開發者修復（針對插件作者）

開發者必須實施代碼級修復和安全的上傳處理：

1. 嚴格的能力檢查：始終使用 current_user_can() 並具備適當的能力（不要依賴角色名稱）。.
2. Nonce 驗證：驗證 WordPress 的 nonce 以進行狀態更改操作。.
3. 使用核心上傳處理：wp_handle_upload() 和 wp_check_filetype_and_ext() 進行 MIME 和擴展名檢查。.
4. 將接受的文件類型限制為最小所需集，並驗證文件內容，而不僅僅是擴展名。.
5. 在可能的情況下，將上傳存儲在網頁根目錄之外，並通過強制訪問規則的受控代理提供服務。.
6. 清理文件名（sanitize_file_name()）並防止目錄遍歷。.
7. 確保服務器配置為防止在可寫目錄中執行上傳的文件。.
8. 記錄上傳活動並附上用戶上下文以便審計和事件響應。.
9. 對上傳端點進行速率限制並實施反自動化保護。.
10. 添加以安全為重點的單元測試和持續的安全審查。.

事件後清理：如何確保您是乾淨的

1. 將網站置於維護模式，並進行完整的文件 + 數據庫備份以進行取證分析。.
2. 如果可能，隔離或阻止公共訪問。.
3. 按照狩獵檢查清單識別可疑文件、未知的管理用戶和修改過的代碼。.
4. 用來自可信來源的乾淨副本替換修改過的核心、主題和插件文件，或重新安裝 WordPress 核心。.
5. 刪除可疑用戶並銷毀活動會話：

   wp user session destroy

6. 重置所有管理員/編輯者密碼並更新外部憑證（FTP、主機面板、API 密鑰）。.
7. 在 wp-config.php 中旋轉 WordPress 鹽和密鑰。.
8. 清理後重新掃描網站和上傳內容。.
9. 如有必要，從任何妥協之前的乾淨備份中恢復，然後加固恢復的網站。.
10. 密切監控日誌和流量以防止重現。.

如果您對清理不自信，請尋求專業事件響應提供商或您的主機提供商的安全團隊的幫助。.

偵測和監控建議

• 為用戶操作（登錄、角色變更、上傳）啟用審計日誌。.
• 監控文件系統變更，以捕捉插件、主題和上傳中的意外修改。.
• 在上傳或其他可寫目錄中創建 PHP 文件時發出警報。.
• 注意來自網絡伺服器的異常外部連接，這可能表明命令和控制活動。.
• 維持乾淨的基準並定期進行完整性檢查。.

為什麼虛擬修補現在很重要

當漏洞公開且沒有官方修補程式時，虛擬修補程式（通過您的 WAF、CDN 或主機）可以立即通過阻止已知攻擊向量來降低風險。這是一項臨時措施——並不是當上游供應商的修補程式可用時的替代方案。在啟用阻止之前，請在檢測模式下測試規則。.

實用的加固檢查清單（深度防禦）

1. 如果該插件不是必需的，請移除或停用易受攻擊的插件。.
2. 通過您的主機、WAF 或安全設備應用虛擬修補，以阻止可疑的上傳和插件特定的端點。.
3. 加固上傳目錄以防止 PHP 執行。.
4. 在插件更新之前，從編輯者角色中移除上傳功能。.
5. 強制重置編輯者和管理員的密碼，並在可用的地方啟用 MFA。.
6. 旋轉與網站相關的鹽、密鑰和所有憑證。.
7. 啟用審計日誌和文件完整性監控。.
8. 確保主題和插件來自可信來源並保持最新。.
9. 維護定期的、經過測試的異地備份。.

根據暴露程度優先響應

• 高暴露：用戶生成內容網站、許多編輯者帳戶或高流量——立即採取行動：移除插件、虛擬修補並掃描。.
• 中等暴露：少數可信編輯者——遵循相同步驟並協調以最小化干擾。.
• 低暴露：單一管理員網站仍應移除或減輕插件；不要依賴於感知的低風險。.

示例：更安全的上傳處理（開發者參考）

以下是一個簡化的 PHP 模式，說明更安全的上傳處理。僅供開發者參考。.

// 示例：安全處理模式（簡化）

團隊的溝通計劃

• 通知內容團隊和編輯者有關臨時變更（上傳功能已移除或限制）。.
• 協調維護窗口以移除或更新插件，以最小化操作中斷。.
• 讓利益相關者了解修復進度和任何妥協的證據。.

最終優先建議

1. 如果您運行易受攻擊的插件，請立即移除或禁用它。.
2. 應用虛擬修補（WAF/主機規則）以阻止針對插件端點的上傳嘗試。.
3. 掃描上傳目錄以查找 PHP 或可疑內容，並修復任何發現。.
4. 旋轉憑證並強制執行強密碼以及多因素身份驗證以保護管理員/編輯帳戶。.
5. 只有在移除易受攻擊的代碼並驗證網站完整性後，才重新引入編輯器上傳功能。.

時間至關重要——自動掃描器和攻擊者將迅速測試已知的未修補漏洞。如果您需要幫助，請聯繫可信的事件響應提供商或您的託管提供商的安全團隊以獲取即時支持。.

— 香港安全專家