CVE-2025-53453CVE-2025-53453是WordPress主题Hygia中的一个高危本地文件包含漏洞,CVSS评分达到8.1分。该漏洞存在于Hygia主题1.16及以下版本中,源于PHP程序对文件名参数缺乏适当的控制验证。攻击者可以通过构造恶意请求,利用该漏洞包含本地服务器上的敏感文件,如配置文件、凭据文件等,甚至可能通过PHP伪协议实现远程代码执行。Hygia是由axiomthemes开发的WordPress主题产品,被广泛应用于各类网站。由于该漏洞不需要认证即可利用,且攻击复杂度较低,对互联网公开部署的WordPress网站构成了严重威胁。攻击者无需特殊权限或用户交互,即可通过发送特制的HTTP请求触发漏洞,获取服务器敏感信息或进一步渗透系统。
该漏洞属于PHP文件包含类漏洞,具体为本地文件包含(LFI)。漏洞根源在于Hygia主题的PHP代码中,对include或require语句的文件名参数没有进行充分的输入验证和安全过滤。攻击者可以通过HTTP请求参数(如GET或POST参数)控制被包含的文件路径,使其指向服务器上的任意文件,如/etc/passwd、wp-config.php等敏感文件。在某些配置下,攻击者还可以利用PHP伪协议(如php://filter)读取文件内容,或通过phar://、zip://等协议包含恶意文件实现远程代码执行。典型的攻击路径是找到主题中调用include/require且参数可控的文件,然后通过目录遍历技术(如使用../)访问系统敏感文件。修复此类漏洞需要对用户输入进行严格的白名单验证,确保被包含的文件必须在允许的目录范围内。