緊急安全警報：圖示工廠插件 (≤ 1.6.12) — 未經身份驗證的任意檔案刪除 (CVE-2025-7778)

TL;DR
WordPress 圖示工廠插件 (版本 ≤ 1.6.12) 中的關鍵漏洞 (CVE-2025-7778) 允許未經身份驗證的攻擊者在未經授權檢查的情況下調用檔案刪除例程 (delete_files())。CVSS 評分為高 (8.6)。後果包括網站崩潰、數據丟失和攻擊者的後續行動。如果您運行此插件，請立即採取行動：禁用或移除該插件，如有需要，從經過驗證的乾淨備份中恢復，並通過您的 WAF 應用虛擬修補，直到供應商修復可用。.

為什麼這很重要（簡短風險摘要）

• 漏洞類型：任意檔案刪除 — 檔案刪除功能缺少授權檢查。.
• 所需權限：無 — 未經身份驗證的攻擊者可以觸發刪除。.
• 影響：攻擊者可以刪除網頁伺服器用戶可以訪問的檔案 — 插件/主題檔案、上傳、快取，並且如果權限允許，可能還包括核心檔案。.
• 緊急性：高 — 一旦公開的概念驗證代碼流傳，未經身份驗證的漏洞會迅速被掃描和武器化。.

技術摘要（漏洞是什麼以及如何發生）

該插件暴露了一個可以在未經適當授權的情況下調用的 delete_files() 例程。安全設計期望驗證調用者已通過身份驗證並具有相關能力（例如，結合 nonce 驗證的 current_user_can() 檢查）。在這種情況下，delete_files() 處理 HTTP 提供的輸入並執行檔案刪除，而不強制執行這些檢查。.

後果：

• 攻擊者可以構造 HTTP 請求，刪除網頁過程可訪問的檔案。.
• 被刪除的檔案可能會破壞網站功能、移除媒體或改變網站以隱藏進一步的妥協。.
• 根據主機和權限，爆炸半徑可能擴展到共享主機上的其他網站。.

注意：CVE 識別碼：CVE-2025-7778。.

利用場景和攻擊者目標

使用此漏洞的典型攻擊者目標：

1. 立即拒絕服務 — 刪除核心/插件/主題檔案以使網站失效。.
2. 消除痕跡 — 刪除日誌或備份以複雜化取證調查。.
3. 為後續攻擊做準備 — 移除特定檔案以便替換為網頁殼或後門（如果稍後可以上傳檔案）。.
4. 勒索 — 威脅永久刪除數據，除非支付。.
5. 針對性破壞 — 通過移除內容或配置來擾亂組織。.

如何快速檢查您的網站是否受到影響

1. 清查插件：在 wp-admin → 插件 → 已安裝插件中，尋找 “Icons Factory” 並檢查版本 — 易受攻擊的版本為 ≤ 1.6.12。.
2. 尋找缺失或最近刪除的檔案：將插件目錄與來自可信來源的新副本進行比較；調查可疑的時間戳或缺失的檔案。.
3. 網頁伺服器日誌：搜索訪問和錯誤日誌中對 admin-ajax.php 或特定插件端點的可疑 POST 請求。尋找如 delete、remove、file、path 或直接檔案路徑等參數。.
4. 檔案系統檢查：檢查 wp-content/uploads、插件和主題目錄中的刪除或更改的檔案。.
5. 檢查不尋常的用戶變更：雖然刪除不會創建用戶，但後續活動可能會添加管理員帳戶 — 驗證用戶和角色。.

如果您確認了刪除並且無法解釋，則將網站視為可能被攻擊，並遵循以下事件響應步驟。.

立即修復步驟（現在就這樣做）

1. 將網站置於維護模式以減少自動掃描和利用。.
2. 禁用易受攻擊的插件：
   • 從 wp-admin → 插件中，停用 Icons Factory。.
   • 如果 wp-admin 無法訪問，通過 SFTP/SSH 重命名插件目錄（例如，wp-content/plugins/icons-factory → icons-factory.disabled）。.
3. 從已知良好的備份中恢復缺失的檔案。如果您懷疑備份的完整性，請保留當前證據並尋求專業的取證幫助。.
4. 旋轉憑證：重置 WordPress 管理員密碼、數據庫憑證以及任何插件或主題使用的 API 密鑰。.
5. 更新所有內容：在確保備份乾淨後，更新 WordPress 核心、主題和其他插件。在可用的經過驗證的供應商修補程序之前，不要重新啟用插件。.
6. 如果尚未有供應商修補程序可用：應用 WAF 虛擬修補（請參見下面的 WAF 部分）和/或永久移除插件並在必要時遷移功能。.
7. 掃描惡意軟體和持久性：尋找網頁外殼、意外的 PHP 檔案、攻擊者新增的 cronjobs 或排程鉤子。.
8. 聯繫您的主機以獲取伺服器級日誌和可能的快照恢復。.
9. 審查並加強檔案系統權限，以便網頁用戶無法不必要地刪除核心檔案。.

如果您確認替換檔案、外洩或其他更深層妥協的指標，請升級至專業事件響應團隊。.

偵測：在日誌和檔案系統中尋找什麼

• 存取日誌：對 admin-ajax.php 或包含檔案路徑類似參數的插件端點的重複 POST 請求；不尋常的用戶代理或空的引用者。.
• 錯誤日誌：有關缺少包含或 require_once 失敗的 PHP 警告/錯誤，引用插件或核心檔案。.
• 檔案系統：插件/主題資料夾中缺少的 PHP 檔案，wp-content/uploads 下被刪除或空的檔案，意外的修改時間。.
• 資料庫：選項中意外的變更或新的管理用戶。.
• 備份：備份中存在但在生產環境中缺失的檔案。.

受損指標 (IOCs)

• 參數中引用檔案路徑的請求（../ 序列或絕對路徑）。.
• 對 admin-ajax.php 或 /wp-content/plugins/icons-factory/ 下的端點的 POST 峰值。.
• 在可疑請求後立即出現的 PHP 日誌中的 500/503 錯誤和缺少包含錯誤。.
• 備份中存在但在生產系統中缺失的檔案。.

虛擬修補和 WAF 保護（建議的規則和邏輯）

在等待官方供應商修補程式時，WAF 可以減輕攻擊嘗試。以下是您可以調整到 WAF 的概念防禦規則和 ModSecurity 風格的範例。.

WAF 策略（概念）：

• 阻止未經身份驗證的請求，試圖調用插件中的檔案刪除例程。.
• 在可能的情況下，要求驗證 WordPress nonces 的存在/驗證以進行管理端的 POST。.
• 阻止試圖進行檔案操作的 admin-ajax 調用，除非它們來自具有適當權限的經過身份驗證的會話。.
• 限制可疑的 POST 請求並阻止重複違規者。.

假規則邏輯：

如果 HTTP 方法為 POST 並且目標為 admin-ajax.php 或插件端點 並且.

示例 ModSecurity 風格的規則（清理並適應您的環境）：

SecRule REQUEST_METHOD "POST" "chain,phase:2,deny,log,id:100001,msg:'阻止潛在的 Icons Factory 刪除文件利用 - 未經身份驗證的請求'"

注意：參數名稱可能會有所不同。先從日誌模式開始以減少誤報，然後對確認的惡意模式進行阻止。.

安全規則示例和實用建議

1. 對文件操作端點要求身份驗證：僅允許帶有 WP 身份驗證 cookie 的請求到達執行文件操作的端點。.
2. Nonce 強制執行：阻止缺少預期 nonce 參數（例如，_wpnonce）或具有無效 nonce 的 POST 請求。.
3. 限制文件路徑模式：阻止包含 ../ 序列、絕對路徑或引用關鍵文件（wp-config.php、.htaccess）的請求。.
4. 基於正則表達式的有效負載阻止：檢測並阻止未經身份驗證的請求中的文件路徑模式，例如 /wp-content/uploads/.*|(\.\./)+|[A-Za-z]:\\。.

首先在測試環境中測試 WAF 規則並監控日誌以減少誤報。.

加固建議以減少此類漏洞的影響

• 最小特權原則：設置文件擁有權和權限，以防止網頁進程在可能的情況下刪除核心文件。.
• 禁用插件和主題編輯器：在 wp-config.php 中添加 define(‘DISALLOW_FILE_EDIT’, true);。.
• 維護頻繁的異地備份，並保持足夠的保留期以回滾到乾淨狀態。.
• 強化管理控制和多因素身份驗證以保護管理帳戶。.
• 限制插件來源：僅從可信來源安裝，並維護已安裝插件及其版本的清單。.
• 使用 FIM（文件完整性監控）監控文件完整性，並在刪除或意外更改時觸發警報。.
• 定期進行安全審計和掃描，涵蓋測試和生產環境。.
• 強化 PHP 和伺服器設定：限制潛在危險的函數並在適當的地方設置 open_basedir。.

事件響應手冊（當懷疑遭到入侵時的逐步指導）

1. 隔離：將網站置於維護模式並封鎖可疑 IP。.
2. 保存證據：快照檔案系統和資料庫；不要覆蓋日誌。.
3. 分流：識別被刪除的檔案，與日誌相關聯，確定初始進入點。.
4. 恢復：從攻擊前的乾淨備份中恢復；在恢復前掃描備份。.
5. 修復：禁用易受攻擊的插件，應用 WAF 規則，輪換憑證，並修補其他漏洞。.
6. 如有必要，重建：如果懷疑存在持久後門，則從乾淨的來源重建並選擇性恢復已驗證的內容。.
7. 事件後回顧：進行根本原因分析並實施控制措施以防止再次發生。.
8. 溝通：根據政策要求通知利益相關者、客戶或監管機構。.

恢復和測試

• 從備份恢復並應用緩解措施後，進行全面的安全掃描和完整性檢查。.
• 在恢復公共訪問之前，測試網站功能，特別是依賴插件的區域。.
• 驗證 WAF 日誌是否阻止惡意嘗試並相應調整規則。.
• 在恢復後的幾天內密切監控是否有後續活動的跡象。.

為什麼這個漏洞對 WordPress 網站特別危險

• WordPress 安裝通常使用許多質量不一的第三方插件——一個未經身份驗證的漏洞可以被廣泛利用。.
• 共享主機的權限模型可以放大檔案刪除漏洞造成的損害。.
• 刪除是靜默且立即的——攻擊者可以在不留下典型 RCE 的明顯攻擊痕跡的情況下造成損害。.

常見問題

問：如果我禁用插件，刪除的檔案會恢復嗎？

不。禁用插件可以防止進一步的利用，但不會恢復已刪除的文件。請從備份中恢復或進行手動恢復。.

問：可以從伺服器垃圾桶或臨時存儲中恢復文件刪除嗎？

通常不行。網頁伺服器通常會立即刪除文件。一些控制面板或主機提供快照或垃圾桶功能——請及時聯繫您的主機。.

問：當供應商修補程序發布時，我應該重新啟用插件嗎？

只有在驗證供應商的修補程序正確執行授權檢查和隨機數驗證後。請在重新啟用生產環境之前在測試環境中測試修補程序。如果供應商的響應不佳，考慮完全移除插件並遷移功能。.

管理員應實施的長期防禦措施

• 實施插件生命周期政策：審核、清點、更新和移除未使用的插件。.
• 使用基於角色的訪問控制，並最小化管理員帳戶的數量。.
• 將部署和安全操作的職責分開。.
• 在開發管道中整合安全測試，並運行依賴檢查以檢測易受攻擊的插件版本。.
• 安排漏洞監控，並準備虛擬修補能力以快速響應。.

最後的想法——來自香港安全專家的備註

任意文件刪除具有欺騙性的破壞性：它不需要特權提升，其影響可能是立即且代價高昂的。從香港及其他高密度託管市場的實踐者角度來看，速度至關重要。快速檢測、隔離和減輕損害以縮短損害窗口。.

應用分層防禦：嚴格的備份、最小特權許可、監控和基於WAF的虛擬修補，同時等待供應商修復。如果您管理多個網站，請優先考慮清點和快速減輕暴露AJAX或文件處理端點的插件。.

如果您不確定您的網站是否受到影響或需要協助調查可疑活動，請聯繫可信的安全專業人士或您的託管提供商以獲取取證支持。.

— 香港安全專家