CVE-2025-12824WordPress Player Leaderboard插件存在本地文件包含(LFI)漏洞,该漏洞影响所有版本直至1.0.2版本。漏洞根源在于插件的'player_leaderboard'短代码中使用了未经安全处理的用户输入值作为'mode'属性,并直接传递给include()函数进行文件包含操作,而未进行适当的路径验证。此漏洞允许具有Contributor级别及以上权限的认证攻击者包含并执行服务器上的任意PHP文件,从而可以执行这些文件中的任何PHP代码。攻击者可利用此漏洞绕过访问控制、获取敏感数据,或结合文件上传功能实现完全远程代码执行,对WordPress网站安全构成严重威胁。
漏洞存在于插件的公共类文件class-player-leaderboard-public.php中,具体在处理短代码属性时,'mode'参数被直接用于include()语句而未经过任何输入验证或路径规范化处理。攻击者可以通过构造恶意短代码,如[player_leaderboard mode="../../wp-config.php"],使服务器包含任意本地文件。由于PHP的include()函数会执行被包含文件中的PHP代码,攻击者可以结合其他漏洞(如文件上传)写入恶意PHP代码,然后通过LFI包含该文件来执行,从而实现远程代码执行。漏洞的利用条件较低,只需网站存在该插件且攻击者拥有至少Contributor级别的WordPress账户即可。