CVE-2025-69061CVE-2025-69061是WordPress MoveMe主题中的一个高危安全漏洞,CVSS评分8.1。该漏洞属于PHP文件包含类漏洞,存在于MoveMe主题的1.2.15及之前版本中。攻击者可以利用此漏洞进行本地文件包含(LFI)或远程文件包含(RFI)攻击,无需任何认证即可利用。成功利用此漏洞可能导致敏感信息泄露、服务器端代码执行甚至完全接管服务器。由于该漏洞利用难度较低且影响严重,建议所有使用受影响版本的用户立即采取修复措施。
该漏洞源于MoveMe主题对用户输入的文件路径参数缺乏充分的验证和过滤。攻击者可以通过构造恶意的文件包含请求,操控include或require语句加载任意文件。在PHP中,如果启用了allow_url_include配置,攻击者甚至可以直接包含远程服务器上的恶意脚本,实现远程代码执行。典型的攻击场景包括:1)通过目录遍历字符(如../)读取服务器敏感文件如/etc/passwd或wp-config.php;2)配合文件上传功能包含恶意PHP文件;3)利用日志注入在日志文件中写入PHP代码并包含执行。漏洞主要存在于主题的某些PHP文件中,这些文件直接使用$_GET或$_POST等超全局变量接收文件路径参数并传递给include/require语句,未进行安全过滤。