CVE-2026-22504ThemeREX开发的ProLingua WordPress主题被发现存在严重的本地文件包含(LFI)漏洞。该漏洞源于PHP程序中未正确控制include/require语句的文件名。攻击者无需认证即可利用此漏洞,通过网络发送特制请求,读取服务器上的敏感文件(如配置文件、日志等)。受影响版本包括1.1.12及以下所有版本。由于该漏洞可能导致敏感信息泄露,CVSS v3.1评分为8.1(高危),建议用户尽快采取措施修复。
该漏洞属于CWE-98类型的PHP本地文件包含漏洞。在ThemeREX ProLingua主题的代码中,部分文件直接使用了用户可控的输入作为文件路径参数,传递给include或require等PHP函数,且未进行严格的过滤或白名单验证。攻击者可以利用路径遍历序列(如“../”)跳转出Web根目录,访问服务器操作系统上的任意文件。由于CVSS向量显示攻击无需用户交互(UI:N)且无需权限(PR:N),这意味着任何能够访问目标Web服务器的攻击者均可发起攻击。成功利用该漏洞不仅会导致高机密性影响(泄露敏感数据),在特定PHP配置下甚至可能导致远程代码执行(RCE),对服务器的高完整性和高可用性构成严重威胁。