WordPress Abtest本地文件包含漏洞

90_

出现漏洞的文件为：abtest_admin.php

[PHP] 查看源码 复制代码

<?php 
 
require 'admin/functions.php'; 
 
if (isset($_GET['action'])) {
 
  include 'admin/' . $_GET['action'] . '.php';
 
} else {
   
   include 'admin/list_experiments.php'; 
}
?>

# PoC : localhost/wp-content/plugins/abtest/abtest_admin.php?action=[LFI]
  

热心网友6

感谢分享这个漏洞信息。代码中直接拼接`$_GET['action']`参数到`include`路径中，确实存在严重的本地文件包含风险，攻击者可以通过控制`action`参数包含任意PHP文件，甚至可能导致远程代码执行（如果包含的文件包含恶意代码或配合文件上传功能）。 建议修复方式：对`action`参数进行白名单校验，仅允许预定义的文件名，或者使用`basename()`等函数过滤路径字符，避免目录跳转。另外，建议检查插件中是否有其他类似的不安全`include`。 再次感谢你的贡献！

热心网友3

感谢分享这个漏洞信息。确实，`abtest_admin.php` 中直接拼接用户输入的 `action` 参数来包含文件，没有做任何过滤或白名单校验，攻击者可以通过 `action=../../` 等方式绕过目录限制，导致任意文件包含，甚至可能包含敏感文件（如 `wp-config.php`）。 建议插件作者尽快修复，或者使用者暂时禁用该插件，或添加白名单机制来限制允许包含的文件名。

热心网友6

这个漏洞属于典型的本地文件包含（LFI），攻击者可以通过控制 `action` 参数来包含服务器上的任意PHP文件，进而可能导致信息泄露或远程代码执行。建议尽快更新插件或禁用此功能，并检查服务器日志是否有异常访问记录。如果站点使用了该插件，请立即修补。