紧急：DocoDoco 店铺定位 (≤ 1.0.1) — 认证 (编辑+) 任意文件上传漏洞及您现在必须采取的措施

日期： 2025年10月15日
作者： 香港安全专家

本公告涉及一个影响 DocoDoco 店铺定位版本 ≤ 1.0.1 的关键问题 (CVE-2025-10754)。该缺陷允许具有编辑权限（或更高权限）的认证用户向网站上传任意文件。该漏洞的 CVSS 为 7.2，并且在发布时没有可用的供应商补丁。如果您的 WordPress 网站上安装了此插件，请仔细阅读并立即采取行动。.

快速总结（针对网站管理员）

• DocoDoco 店铺定位 (≤ 1.0.1) 存在一个需要编辑角色或更高权限的认证任意文件上传漏洞。.
• 拥有编辑访问权限的攻击者可以上传 PHP 后门/网页外壳，导致远程代码执行、持久存在和数据盗窃。.
• 目前尚无官方补丁。需要立即缓解：移除或禁用该插件，限制编辑上传能力，扫描上传的恶意文件，轮换凭据，并在可能的情况下通过您的主机或安全设备应用虚拟补丁。.
• 如果您运营多个网站或管理客户，请优先处理风险最高的网站（高流量、多编辑、用户生成内容）。.

为什么这很严重

任意文件上传漏洞对内容管理系统的影响很大：

• 攻击者可以植入 PHP 后门或网页外壳，允许命令执行和完全网站妥协。.
• 上传的文件可以伪装（双扩展名、重命名文件），并随后直接执行或通过本地文件包含漏洞执行。.
• 编辑权限通常授予内容创建和媒体操作，实际上足以在上传被滥用时实现完全接管。.
• 已知的未修补漏洞会吸引自动扫描和大规模利用。及时缓解显著减少暴露时间。.

高级利用流程

1. 攻击者获得编辑级别的访问权限（被攻陷的账户、凭据盗窃、社会工程）。.
2. 攻击者通过插件的上传端点或管理界面上传恶意文件。.
3. 不足的验证/存储允许 PHP 或可执行内容存储在可通过网络访问的位置。.
4. 攻击者触发文件执行命令、横向移动或建立持久后门。.

您必须采取的立即步骤（事件响应检查清单）

如果您的网站使用 DocoDoco Store Locator (≤ 1.0.1)，请立即执行以下操作：

1. 将网站置于维护或有限模式，以尽可能减少攻击者的影响。.
2. 禁用或删除 DocoDoco Store Locator 插件。如果您无法立即删除它，请通过 SFTP/SSH 重命名插件文件夹，以防止插件代码加载：

   sudo mv wp-content/plugins/docodoco-store-locator wp-content/plugins/docodoco-store-locator.disabled

3. 强制所有管理员和编辑者重置密码。强制任何具有上传、编辑或发布权限的用户重置密码。.
4. 撤销并重新发放与该网站相关的任何 API 密钥、集成凭据或外部令牌。.
5. 在 wp-config.php 中轮换 WordPress 盐值和密钥，以使现有会话失效。.
6. 扫描 wp-content/uploads 和其他可写目录以查找最近或可疑的文件（请参见猎杀和检测）。.
7. 审计披露日期后创建的用户帐户；及时删除不熟悉的帐户。.
8. 检查计划任务（wp-cron）、主题/插件文件修改、.htaccess 和 wp-config.php 是否有未经授权的更改。.
9. 如果存在妥协指标（webshell、未知进程、后门），请立即隔离网站并联系专业事件响应者或您的主机。.
10. 如果您无法确保干净状态，请从妥协前的已知良好备份中恢复。.

在可能的情况下，与您的托管提供商或安全运营团队协调这些步骤，以便他们可以协助进行网络级别的隔离和虚拟修补。.

猎杀和检测：现在要运行的命令和检查

使用以下检查来检测可疑的上传或修改。根据您的环境调整命令。.

搜索上传的最近或可疑文件

find wp-content/uploads -type f -mtime -30 -printf '%TY-%Tm-%Td %TT %p

find wp-content/uploads -type f \( -iname '*.php' -o -iname '*.phtml' -o -iname '*.php5' -o -iname '*.php7' \) -print

grep -R --line-number --exclude-dir=cache --exclude-dir=logs '<?php' wp-content/uploads || true

find wp-content/uploads -type f -regextype posix-extended -regex '.*\.(php|phtml|php5|php7|phar|pl|py)$' -print

检查修改过的核心/插件/主题文件

find . -type f -name '*.php' -mtime -30 -printf '%TY-%Tm-%Td %TT %p

检查用户和选项（推荐使用 WP-CLI）

wp user list --fields=ID,user_login,user_email,roles,user_registered

wp option get active_plugins

检查 .htaccess

tail -n 200 .htaccess

使用恶意软件扫描器检测 webshell 模式。隔离可疑文件并调查其创建时间戳和上传者账户。.

你现在可以应用的短期缓解措施

1. 禁用或删除插件——这是最可靠的立即缓解措施。.
2. 防止在上传目录中执行 PHP：

   Apache（在 wp-content/uploads 下的 .htaccess）：

   <FilesMatch "\.(php|phtml|php5|php7|phar)$">
     Deny from all
   </FilesMatch>

   Nginx：添加位置规则以拒绝在上传中执行，或要求你的主机实施更改。.

3. 暂时从编辑角色中移除 upload_files 权限，直到插件被修补：

   wp role remove-cap editor upload_files

   注意：这会减少编辑者的功能。与内容团队沟通更改。.

4. 加强上传处理：限制接受的MIME类型并检查上传边界的内容。.
5. 在您的WAF上应用虚拟补丁规则，或要求您的主机阻止特定插件的端点和可疑的上传模式。.
6. 监控日志以查找对插件端点的POST请求、意外的文件上传或内容类型不匹配。.

推荐的WAF规则/签名（概念性）

这些是针对操作员的高层规则想法；首先在检测模式下测试以避免误报。.

• 除非经过身份验证的用户是管理员，或请求来自受信任的IP集，否则阻止对插件上传端点的上传。条件：请求路径匹配/wp-content/plugins/docodoco-store-locator/*upload*或admin-ajax操作等于插件上传操作。.
• 拒绝文件部分包含PHP开放标签（例如，<?php或常见混淆）的multipart/form-data上传。.
• 拒绝具有双扩展名（例如，image.php.jpg）或可执行扩展名的文件名。使用正则表达式匹配不允许的扩展名。.
• 强制MIME嗅探：当声明的MIME为image/*但文件头指示为text/php时阻止。.
• 阻止可疑的用户代理和对插件路径的重复自动上传尝试。.

与您的主机协调规则部署以避免中断。.

长期开发者修复（针对插件作者）

开发者必须实施代码级修复和安全上传处理：

1. 严格的能力检查：始终使用current_user_can()与适当的能力（不要依赖角色名称）。.
2. Nonce验证：验证WordPress的nonce以进行状态更改操作。.
3. 使用核心上传处理：wp_handle_upload()和wp_check_filetype_and_ext()进行MIME和扩展名检查。.
4. 将接受的文件类型限制为最低必需集，并验证文件内容，而不仅仅是扩展名。.
5. 在可能的情况下，将上传存储在Web根目录之外，并通过强制访问规则的受控代理提供服务。.
6. 清理文件名（sanitize_file_name()）并防止目录遍历。.
7. 确保服务器配置为防止在可写目录中执行上传的文件。.
8. 记录用户上下文的日志上传活动以便审计和事件响应。.
9. 对上传端点进行速率限制并实施反自动化保护。.
10. 添加以安全为中心的单元测试和持续的安全审查。.

事件后清理：如何确保你是干净的

1. 将网站置于维护模式，并进行完整的文件 + 数据库备份以便进行取证分析。.
2. 如果可能，隔离或阻止公共访问。.
3. 按照狩猎检查表识别可疑文件、未知管理员用户和修改过的代码。.
4. 用来自可信来源的干净副本替换修改过的核心、主题和插件文件，或重新安装WordPress核心。.
5. 删除可疑用户并销毁活动会话：

   wp 用户会话销毁

6. 重置所有管理员/编辑器密码并更新外部凭据（FTP、托管面板、API密钥）。.
7. 在wp-config.php中旋转WordPress盐和密钥。.
8. 清理后重新扫描网站和上传内容。.
9. 如有必要，从任何妥协之前制作的干净备份中恢复，然后加固恢复的网站。.
10. 密切监控日志和流量以防止再次发生。.

如果你对清理没有信心，请联系专业事件响应提供商或你的托管提供商的安全团队。.

检测和监控建议

• 启用用户操作的审计日志（登录、角色更改、上传）。.
• 监控文件系统更改，以捕捉插件、主题和上传中的意外修改。.
• 在上传或其他可写目录中创建PHP文件时发出警报。.
• 监控来自网络服务器的异常出站连接，这可能表明指挥和控制活动。.
• 维护一个干净的基线，并定期进行完整性检查。.

为什么虚拟补丁现在很重要

当漏洞公开且没有官方补丁时，虚拟补丁（通过您的 WAF、CDN 或主机）可以立即通过阻止已知攻击向量来降低风险。这是一种临时措施——并不能替代在上游供应商补丁可用时应用补丁。在启用阻止之前，请在检测模式下测试规则。.

实用的加固检查清单（深度防御）

1. 如果不必要，请移除或停用易受攻击的插件。.
2. 通过您的主机、WAF 或安全设备应用虚拟补丁，以阻止可疑上传和插件特定的端点。.
3. 加固上传目录以防止 PHP 执行。.
4. 在插件更新之前，从编辑者角色中移除上传功能。.
5. 强制重置编辑者和管理员的密码，并在可用时启用 MFA。.
6. 轮换与网站相关的盐、密钥和所有凭据。.
7. 启用审计日志和文件完整性监控。.
8. 确保主题和插件来自可信来源并保持最新。.
9. 维护定期、经过测试的异地备份。.

根据暴露程度优先响应

• 高暴露：用户生成内容的网站，多个编辑者账户或高流量——立即采取行动：移除插件、虚拟补丁并扫描。.
• 中等暴露：少数可信编辑者——遵循相同步骤并协调以最小化干扰。.
• 低暴露：单管理员网站仍应移除或减轻插件；不要依赖于感知的低风险。.

示例：更安全的上传处理（开发者参考）

以下是一个简化的 PHP 模式，说明更安全的上传处理。仅供开发者参考。.

// 示例：安全处理模式（简化版）

团队沟通计划

• 通知内容团队和编辑有关临时更改（上传能力已移除或限制）。.
• 协调插件移除或更新的维护窗口，以最小化操作中断。.
• 让利益相关者了解补救进展和任何妥协证据。.

最终优先建议

1. 如果您运行易受攻击的插件，请立即移除或禁用它。.
2. 应用虚拟补丁（WAF/主机规则）以阻止针对插件端点的上传尝试。.
3. 扫描上传目录以查找 PHP 或可疑内容，并修复任何发现。.
4. 轮换凭据并强制使用强密码以及多因素身份验证以保护管理员/编辑帐户。.
5. 仅在移除易受攻击代码并验证网站完整性后，重新引入编辑上传能力。.

时间至关重要——自动扫描器和攻击者会迅速测试已知的未修补漏洞。如果您需要帮助，请联系可信的事件响应提供商或您的托管提供商的安全团队以获得即时支持。.

— 香港安全专家