CVE-2025-58937 CVSS 8.1 高危

CVE-2025-58937 Tacticool WordPress主题本地文件包含漏洞

披露日期: 2025-12-18

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-58937

漏洞类型

本地文件包含(LFI)

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

axiomthemes Tacticool WordPress主题

漏洞概述

CVE-2025-58937是axiomthemes Tacticool WordPress主题中的一个高危本地文件包含漏洞，CVSS评分8.1。该漏洞源于主题代码对文件包含路径的验证不完整，使得攻击者能够通过构造恶意请求读取服务器上的任意文件，包括敏感配置文件、凭据文件等。漏洞影响版本从初始版本到1.0.13，攻击者无需认证即可利用此漏洞。

技术细节

该本地文件包含漏洞存在于Tacticool主题的文件处理逻辑中。攻击者可通过构造特定的URL参数，利用不安全的include或require语句包含任意本地文件。漏洞的关键在于代码未对用户输入进行充分的路径遍历检查，攻击者可使用../等目录遍历序列访问系统敏感文件。

攻击链分析

STEP 1

攻击者识别目标站点使用的Tacticool主题版本

STEP 2

通过目录遍历Payload访问系统文件

STEP 3

读取敏感配置或凭据文件

STEP 4

利用获取的凭据进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /wp-content/themes/tacticool/includes/file.php?file=../../../../etc/passwd

影响范围

Tacticool <= 1.0.13

防御指南

临时缓解措施

暂时禁用主题或限制文件访问权限，等待官方补丁发布

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表