CVE-2026-32505CreativeWS Kiddy主题存在严重的本地文件包含漏洞,编号为CVE-2026-32505。该漏洞由于PHP程序中未正确过滤包含语句的文件名导致。攻击者无需身份认证,即可通过网络发送特制请求,利用路径遍历读取服务器上的敏感文件。此漏洞影响Kiddy主题2.0.8及以下版本,可能导致配置文件泄露或进一步导致代码执行,安全风险极高。
该漏洞源于CreativeWS Kiddy主题在处理文件包含逻辑时,对用户输入的参数缺乏严格的校验和过滤机制。在PHP中,`include`、`require`等函数会直接执行并包含指定文件的内容。当攻击者控制了传递给这些函数的变量时,可以通过插入目录遍历字符(如`../`)绕过Web根目录限制,访问系统敏感文件(如`/etc/passwd`或数据库配置文件`wp-config.php`)。尽管标题提及远程文件包含(RFI),但实际利用方式主要表现为本地文件包含(LFI)。在某些特定配置下(如`allow_url_include`开启),攻击者甚至可能实现远程代码执行。此外,结合文件上传漏洞或日志投毒技术,攻击者可将恶意PHP代码写入文件并通过LFI执行,从而完全控制服务器。