WordPress插件漏洞导致网站遭受关键文件包含攻击

在InstaWP Connect WordPress 插件中发现了一个严重的安全漏洞，可能使数千个网站面临远程攻击。 

Wordfence 的安全研究人员发现并报告了这个严重漏洞 (CVE-2025-2636)，该漏洞允许未经身份验证的攻击者在受影响的网站上执行任意代码。该漏洞的 CVSS 评分为 9.8，为最高严重程度评级，网站管理员应立即更新。

InstaWP Connect插件LFI漏洞

该漏洞影响 InstaWP Connect 插件的所有版本，最高版本（包括 0.1.0.85）。 

此本地文件包含 (LFI) 缺陷存在于插件的数据库管理功能中，可通过 instawp-database-manager 参数利用。 

技术分类是 CWE-73：将路径名不当限制在受限目录中（“路径遍历”）。

InstaWP Connect 是一款流行的 WordPress 暂存和迁移插件，使用户能够创建一键暂存环境并执行站点迁移。 

该插件作为 InstaWP 的配套工具，允许用户将现有的 WordPress 网站连接到 InstaWP 平台以进行登台、开发和测试。 

安全研究员 Cheng Liu发现该插件在将用户输入（包括函数）传递给 PHP 之前未能正确验证用户输入。

恶意行为者可以使用简单的 HTTP 请求结构来利用此漏洞：

此请求可能允许攻击者在无需身份验证的情况下在服务器上包含并执行任意文件。该漏洞利用向量尤其危险，因为：

• 无需用户身份验证
• 可以远程执行
• 它可能造成服务器完全被攻陷

该漏洞的摘要如下：

对 WordPress 网站的影响

该漏洞允许攻击者绕过访问控制，获取敏感数据（包括数据库凭据），并实现代码执行。 在允许上传图像或其他“安全”文件类型的情况下，攻击者可以上传伪装成合法文件的恶意 PHP 代码，然后利用 LFI 漏洞执行它们。

根据 VulDB 情报，该漏洞的潜在利用价格估计在 0 至 5,000 美元之间，表明其相对容易被利用。 CVSS 向量 CVSS：3.1 确认攻击向量可通过网络访问，复杂度低，并且不需要特权或用户交互。运行 InstaWP Connect 的网站管理员应立即更新到 0.1.0.86 或更新版本，其中包含针对此漏洞的补丁。 

如果无法立即更新，建议暂时停用该插件，直到可以应用更新。此漏洞与 InstaWP Connect 早期版本中发现的安全问题类似，包括 0.1.0.44 和 0.1.0.38 版本中的身份验证绕过漏洞。这凸显了维护最新插件安装的重要性。

WordPress 安全专家强调，这种类型的漏洞特别危险，因为它可能被完全未经身份验证的用户利用，从而可能导致整个网站受到攻击。