CVE-2026-32503CreativeWS开发的Trendustry WordPress主题在1.1.4及之前的版本中存在严重的安全漏洞。该漏洞源于PHP程序中对包含/需求语句的文件名控制不当,导致出现PHP本地文件包含(LFI)漏洞。由于攻击无需认证且无需用户交互,远程攻击者可利用此漏洞读取服务器上的敏感文件(如配置文件、源代码等)。在特定服务器配置下,该漏洞可能进一步导致远程代码执行,从而完全威胁系统的机密性、完整性和可用性。
该漏洞的核心原因在于Trendustry主题未能正确处理用户输入的文件路径参数。在PHP代码中,如果直接将用户可控的变量传递给include()、require()等函数,且未进行严格的过滤(如过滤'../'字符或使用basename()处理),就会导致路径遍历漏洞。攻击者可以通过构造包含目录遍历序列的恶意URL(例如?file=../../../etc/passwd),绕过Web根目录限制,读取系统敏感文件。虽然CVSS描述中提及远程文件包含,但实际利用场景更多表现为本地文件包含。若服务器开启了文件上传功能且路径可控,攻击者可配合文件上传将LFI升级为RCE,获取服务器权限。