CVE-2025-58948CVE-2025-58948是WordPress主题Aromatica(由axiomthemes开发)中的一个高危安全漏洞,CVSS评分达到8.1分。该漏洞属于PHP本地文件包含(Local File Inclusion,LFI)漏洞,允许攻击者在未经身份验证的情况下通过构造恶意请求包含服务器上的任意本地文件。攻击者可利用此漏洞读取敏感文件如/etc/passwd、wp-config.php等配置文件,从而获取数据库凭证、API密钥等敏感信息。在特定配置条件下,攻击者甚至可能结合文件上传或其他漏洞实现远程代码执行(RCE),完全控制目标服务器。此漏洞影响Aromatica主题1.8及以下所有版本,鉴于该主题被广泛应用于WordPress网站,建议用户立即采取修复措施。
Aromatica主题在处理PHP文件包含时存在安全缺陷,未对用户输入进行充分的验证和过滤。攻击者可以通过HTTP请求中的参数(如GET或POST参数)控制文件路径,诱导服务器包含任意本地文件。典型的攻击payload可能利用PHP伪协议(如php://filter)或目录遍历技术(如../../)来读取敏感文件。漏洞主要存在于主题的文件包含函数中,缺少对传入路径的安全检查。攻击者可通过构造如下请求读取wp-config.php:?file=../../wp-config.php 或使用php://filter协议读取源代码。由于WordPress主题通常以较高权限运行,此漏洞可能导致整个网站的配置信息和数据库凭证泄露。