CVE-2026-22494CVE-2026-22494 是 ThemeREX Good Homes WordPress 主题中发现的一个高危漏洞。该漏洞源于 PHP 程序中对 Include/Require 语句文件名控制不当,导致攻击者可以利用 PHP 本地文件包含(LFI)漏洞。受影响的版本为 1.3.13 及以下所有版本。由于该漏洞无需身份认证且通过网络即可触发,攻击者可利用其读取服务器敏感文件,甚至可能导致远程代码执行,对系统的机密性、完整性和可用性造成严重影响。
该漏洞的核心在于 PHP 代码中直接使用了用户可控的输入来构造文件路径,并将其传递给 `include`、`require` 等函数,而未对输入参数进行有效的安全过滤或路径限制。攻击者可以通过发送特制的 HTTP 请求,利用路径遍历序列(如 `../`)绕过目录限制,访问 Web 目录之外的系统文件。由于 CVSS 向量为 AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H,表明攻击无需用户交互和权限。成功利用此漏洞,攻击者可以读取 `/etc/passwd`、`wp-config.php` 等敏感配置文件,进而获取数据库凭据或进一步渗透服务器。在某些特定配置下(如允许文件上传且文件名可控),此漏洞还可能升级为远程代码执行(RCE)。