CVE-2026-39611KuteShop WordPress主题存在严重的本地文件包含漏洞。该漏洞源于程序未能正确控制include/require语句中的文件名,导致攻击者无需高权限即可利用。成功利用此漏洞可读取服务器敏感文件,甚至可能导致远程代码执行。受影响版本涵盖4.2.9及以下所有版本。鉴于CVSS评分高达7.5,建议管理员立即采取措施修复,以防止数据泄露或服务器被控。
该漏洞产生于KuteShop主题的PHP代码实现中,具体涉及对文件路径参数的处理。开发人员在编写代码时,未对用户通过URL参数提交的文件路径进行充分的过滤和安全校验,直接将其传递给了include()或require()等函数。这违反了输入验证的深层防御原则。攻击者可以利用目录遍历序列(如“../”),突破Web根目录限制,访问系统上的任意敏感文件,例如/etc/passwd、wp-config.php数据库配置文件等。虽然CVE描述主要将其归类为本地文件包含(LFI),但在某些特定配置下,若攻击者能够控制部分文件内容或结合文件上传功能,LFI极有可能升级为远程代码执行(RCE),从而完全接管服务器权限。鉴于CVSS 3.1评分达到7.5分,且攻击向量为网络(AV:N),无需用户交互,这使得漏洞利用门槛较低,对业务系统构成严重威胁。