CVE-2025-14359CVE-2025-14359是WordPress Oshine主题中的一个高危本地文件包含漏洞,CVSS评分达到8.1分。该漏洞由于Oshine主题在处理PHP文件包含请求时缺乏适当的输入验证,允许攻击者通过构造恶意请求包含服务器上的任意本地文件。攻击者可以利用此漏洞读取敏感文件如wp-config.php(包含数据库凭证)、/etc/passwd等系统文件,进而可能实现远程代码执行。由于该漏洞无需认证即可利用,且攻击复杂度较低,对使用受影响版本Oshine主题的网站构成严重安全威胁。漏洞影响范围为7.3.0之前的所有版本,披露日期为2026年1月8日。
该漏洞属于PHP远程文件包含(RFI)的本地文件包含(LFI)变体。在Oshine主题中,存在多个PHP文件在处理include或require语句时,未对用户可控的输入参数进行充分的路径遍历过滤和文件名验证。攻击者可以通过URL参数传递精心构造的文件路径,利用目录遍历序列(如../)读取服务器上的敏感文件。典型的攻击向量是在请求中注入类似?file=../../../../../../etc/passwd的参数,尝试包含系统文件。成功利用此漏洞可导致:1) 敏感信息泄露(数据库凭证、API密钥等);2) 代码审计辅助(查看源代码寻找进一步利用点);3) 结合其他漏洞可能实现远程代码执行。攻击者通常首先读取wp-config.php获取WordPress数据库凭证,然后可能利用这些信息进一步渗透。