WordPress的Jupiter X Core插件存在嚴(yán)重安全漏洞，使得超過9萬個(gè)網(wǎng)站面臨本地文件包含（LFI）和遠(yuǎn)程代碼執(zhí)行（RCE）攻擊的風(fēng)險(xiǎn)。

該漏洞被追蹤為CVE-2025-0366，CVSS評分為8.8（高危），允許具有貢獻(xiàn)者權(quán)限的攻擊者上傳惡意的SVG文件并在受影響的服務(wù)器上執(zhí)行任意代碼。

該漏洞利用了Jupiter X Core（一款與高級Jupiter X主題配套的插件）中的兩個(gè)連鎖弱點(diǎn)。

SVG文件上傳不受限制

插件的upload_files()函數(shù)（屬于Ajax_Handler類）允許貢獻(xiàn)者上傳SVG文件，但未對文件內(nèi)容進(jìn)行適當(dāng)驗(yàn)證。

雖然文件名通過PHP的uniqid()函數(shù)進(jìn)行了隨機(jī)化處理，但由于依賴于服務(wù)器微時(shí)間戳，如果攻擊者知道上傳時(shí)間，就能預(yù)測文件名。此漏洞使得包含嵌入式PHP代碼的惡意SVG文件得以上傳，例如：

通過get_svg()實(shí)現(xiàn)本地文件包含

插件Utils類中的get_svg()方法未對用戶輸入進(jìn)行適當(dāng)過濾，導(dǎo)致路徑遍歷漏洞。攻擊者可以通過操縱$file_name參數(shù)包含任意文件：

通過上傳惡意SVG文件并強(qiáng)制通過精心構(gòu)造的請求使其被包含，攻擊者能夠?qū)崿F(xiàn)遠(yuǎn)程代碼執(zhí)行（RCE）。值得注意的是，研究人員stealth copter通過Wordfence的漏洞賞金計(jì)劃發(fā)現(xiàn)了此漏洞，并獲得了782美元的獎(jiǎng)勵(lì)。

該漏洞的嚴(yán)重性在于其利用門檻較低：

• 權(quán)限提升：通常權(quán)限較低的貢獻(xiàn)者用戶可能獲得服務(wù)器的完全控制權(quán)。
• 數(shù)據(jù)泄露：攻擊者可以訪問敏感文件，如_wp-config.php_或數(shù)據(jù)庫憑據(jù)。
• 持久化：通過植入Webshell，攻擊者可以實(shí)現(xiàn)長期訪問。

緩解措施與補(bǔ)丁

插件開發(fā)商Artbees已于2025年1月29日發(fā)布了修復(fù)版本（4.8.8），主要修復(fù)內(nèi)容包括：

• 嚴(yán)格的文件驗(yàn)證：限制SVG文件的上傳權(quán)限僅授予可信用戶，并清理文件內(nèi)容。
• 路徑清理：在get_svg()中實(shí)現(xiàn)realpath檢查，防止目錄遍歷攻擊。

因此，建議用戶更新至Jupiter X Core 4.8.8及以上版本，審核用戶角色以盡量減少貢獻(xiàn)者賬戶，并配置支持LFI/RCE規(guī)則集的Web應(yīng)用防火墻（WAF）。

此外，還應(yīng)檢查自定義主題/插件是否存在類似的文件處理漏洞，特別是在SVG/XML解析器中。鑒于WordPress驅(qū)動了全球43%的網(wǎng)站，主動的漏洞管理仍至關(guān)重要。管理員應(yīng)優(yōu)先使用自動化掃描工具，并訂閱威脅情報(bào)源（如Wordfence Intelligence）以獲取實(shí)時(shí)警報(bào)。