CVE-2026-25381LoveDate主题存在严重的文件包含漏洞,源于对Include/Require语句的文件名控制不当。该漏洞允许未经身份验证的攻击者实施PHP本地文件包含攻击。受影响版本涵盖n/a至3.8.6之前的所有版本。由于无需用户交互即可远程利用,攻击者可借此读取服务器敏感文件,甚至可能导致远程代码执行,对系统的机密性、完整性和可用性构成极高威胁。
该漏洞的核心成因在于PHP代码对Include/Require语句中涉及的文件名参数缺乏有效的过滤与校验机制。在LoveDate主题的特定功能模块中,应用程序直接将用户可控的输入作为文件路径引入include()或require()函数。攻击者可通过构造恶意的HTTP请求,利用目录遍历序列(如“../”)突破Web根目录限制,实现对服务器上任意敏感文件(例如/etc/passwd、数据库配置文件等)的读取。尽管描述提及远程文件包含,但主要表现为本地文件包含(LFI)。在某些特定服务器配置(如开启allow_url_include)下,该漏洞可能导致远程代码执行。鉴于该漏洞无需认证且无交互要求,攻击者极易利用此缺陷获取服务器敏感信息或进一步控制服务器。