CVE-2022-50954WordPress插件cab-fare-calculator 1.0.3版本存在本地文件包含漏洞。由于该插件在tblight.php文件中未对controller参数进行严格的过滤和验证,未经身份认证的攻击者可以通过构造恶意路径遍历序列(如../),远程读取服务器上的敏感文件。该漏洞利用简单,无需用户交互,可能导致服务器配置信息或源代码泄露,对系统机密性造成严重影响。
该漏洞的核心在于WordPress插件cab-fare-calculator对用户输入缺乏有效的安全过滤。在处理`tblight.php`请求时,程序直接获取GET参数`controller`的值,并将其作为文件路径的一部分进行文件包含操作(如include或require)。攻击者可以利用目录遍历序列(例如`../../../../`),突破预期的`controllers`目录限制。这使得未经身份认证的远程攻击者能够读取服务器上PHP进程有权访问的任意文件,包括系统配置文件(如`/etc/passwd`)、数据库凭据文件(如`wp-config.php`)或日志文件。虽然CVSS评分显示完整性影响为无,但敏感信息的泄露为进一步的攻击提供了便利,属于高风险的安全隐患。