CVE-2026-27078该漏洞存在于Mikado-Themes开发的WordPress主题Emaurri中。由于对PHP include/require语句的文件名控制不当,引发了本地文件包含漏洞。攻击者无需用户交互或认证,即可利用该漏洞读取服务器上的敏感文件,如配置文件或源代码。在特定条件下,该漏洞可能被进一步利用以执行任意代码,对服务器造成严重的安全风险。
漏洞根源在于PHP应用程序对`include`或`require`语句中使用的文件名缺乏有效的安全控制。在Emaurri主题的特定功能中,程序直接将用户可控的输入作为文件路径参数传递给文件加载函数,而未进行白名单校验或路径规范化处理。攻击者可利用路径遍历序列(如`../`)跳出预期的Web根目录,访问系统敏感文件(如`/etc/passwd`、配置文件等)。此外,通过结合PHP伪协议(如`php://filter`),攻击者可以读取源代码。在更严重的场景下,若服务器允许文件上传且知晓上传路径,或利用日志中毒技术将恶意代码写入日志文件,攻击者可通过LFI漏洞包含该文件,从而将本地文件包含升级为远程代码执行(RCE),获取服务器权限。