CVE-2025-12851WordPress插件My auctions allegro存在严重的本地文件包含漏洞。攻击者可通过构造恶意的controller参数,未经身份验证即可包含服务器上的任意文件,进而执行任意PHP代码。该漏洞影响所有版本直至3.6.32,CVSS评分高达8.1,属于高危漏洞。攻击者可利用此漏洞绕过访问控制、读取敏感配置文件、获取数据库凭证,甚至完全控制服务器。由于无需认证即可利用,且WordPress使用广泛,该漏洞对互联网安全构成重大威胁。
漏洞存在于My auctions allegro插件的controller参数处理逻辑中。插件在处理请求时,直接将用户可控的controller参数传递给PHP的include/require等文件包含函数,未进行充分的输入验证和路径安全检查。攻击者可通过构造包含路径遍历字符(如../)的controller参数值,包含服务器上的任意文件。当包含的文件为PHP脚本时,其中的代码将被服务器执行。典型的利用方式是先通过文件上传功能上传包含恶意PHP代码的图像文件,然后通过LFI漏洞包含该文件,从而实现远程代码执行。攻击复杂度较高(AC:H),需要攻击者具备一定的技术能力来构造精确的路径和利用链。