CVE-2026-32400CVE-2026-32400是WordPress ThemetechMount Boldman主题中的一个高危安全漏洞,CVSS评分达到7.5分。该漏洞属于PHP本地文件包含(Local File Inclusion,LFI)类型,存在于主题的文件包含机制中。由于主题对用户输入的文件路径参数缺乏充分的验证和过滤,攻击者可以利用该漏洞包含服务器本地文件,可能导致敏感信息泄露、远程代码执行等严重后果。受影响版本从任意版本到7.7版本,攻击者可在低权限条件下通过构造恶意请求触发漏洞,无需用户交互即可实施攻击。该漏洞由Patchstack安全团队审计发现并报告,披露日期为2026年3月13日。
该漏洞存在于Boldman主题的PHP文件包含逻辑中,攻击者可以通过操纵include或require语句的文件路径参数来包含任意本地文件。在WordPress主题中,通常通过GET或POST参数传递要加载的模板文件或模块路径。Boldman主题在处理这些路径参数时未进行严格的输入验证和路径规范化,允许攻击者使用目录遍历序列(如../)和空字节注入等技术绕过限制。典型的攻击场景是修改请求参数指向系统敏感文件,如/etc/passwd、wp-config.php等配置文件。攻击者还可以通过包含Web日志、SSH密钥等文件实现进一步的攻击利用。在某些配置下,配合文件上传或其他漏洞可能实现远程代码执行。攻击者需要具有低权限即可发起攻击,攻击复杂度为高(需要特定条件或绕过技术)。