CVE-2025-14475: CWE-98 PHP程序中Include/Require语句文件名控制不当（“PHP远程文件包含”）存在于nenad-obradovic开发的Extensive VC Addons for WPBakery页面构建器插件中

严重性：高 类型：漏洞

CVE-2025-14475

WordPress的Extensive VC Addons for WPBakery page builder插件在所有版本（包括1.9.1及之前版本）中，通过extensive_vc_get_module_template_part函数存在本地文件包含漏洞。这是由于在extensive_vc_init_shortcode_pagination AJAX操作中，对用户提供的shortcode_name参数缺乏足够的路径规范化和验证。这使得未经身份验证的攻击者能够在服务器上包含并执行任意的PHP文件，从而允许通过shortcode_name参数执行这些文件中的任何PHP代码。

AI分析

技术摘要

CVE-2025-14475是一个被归类为CWE-98的本地文件包含漏洞，发现于WordPress的Extensive VC Addons for WPBakery page builder插件中。该缺陷存在于extensive_vc_get_module_template_part函数中，具体涉及extensive_vc_init_shortcode_pagination AJAX操作中对shortcode_name参数的处理。由于路径规范化和验证不足，攻击者可以操纵此参数来包含服务器上的任意PHP文件。这种包含会导致执行这些文件中包含的任何PHP代码，从而有效地实现远程代码执行，且无需身份验证或用户交互。该漏洞影响所有插件版本，包括1.9.1及之前版本。其CVSS v3.1评分为8.1，属于高严重性，具有网络攻击向量、高攻击复杂度、无需权限、无需用户交互，以及对机密性、完整性和可用性的全面影响。虽然目前没有已知的公开利用程序，但该漏洞的性质以及WPBakery页面构建器及其插件的流行性，使其对WordPress网站构成重大风险。攻击者可能利用此漏洞入侵Web服务器、窃取敏感数据、部署恶意软件或在网络内横向移动。在披露时缺乏可用补丁，要求管理员立即采取缓解措施。

潜在影响

对于欧洲组织而言，此漏洞对使用Extensive VC Addons for WPBakery page builder插件构建在WordPress上的网站和Web应用程序构成了重大风险。成功利用可能导致服务器完全被入侵、数据泄露、网站被篡改，或将服务器用作进一步攻击的跳板。鉴于WordPress在欧洲（包括中小企业、政府机构和电子商务平台）的广泛采用，潜在影响包括：客户信任丧失、因数据泄露而面临GDPR下的监管处罚、运营中断和财务损失。无需身份验证即可远程执行任意PHP代码的能力提高了威胁级别，特别是对于那些缺乏强大Web应用程序防火墙或监控的组织。此漏洞也可能被利用来部署勒索软件或其他恶意软件，从而放大影响。依赖此插件的组织必须考虑其Web基础设施和数据机密性面临的风险，特别是那些处理个人或敏感信息的组织。

缓解建议

立即缓解步骤包括：在供应商发布补丁之前，禁用或移除Extensive VC Addons for WPBakery page builder插件。管理员应监控Web服务器日志，查找针对extensive_vc_init_shortcode_pagination操作的、带有异常shortcode_name参数的可疑AJAX请求。实施带有自定义规则的Web应用程序防火墙，以阻止在此参数中包含目录遍历模式或意外输入的请求，这可以减少暴露风险。限制服务器上的文件权限以防止未经授权的PHP文件包含和执行至关重要。组织还应确保其WordPress核心、主题和插件定期更新，并进行专注于插件漏洞的安全审计。如果补丁延迟，考虑将受影响的Web服务器隔离在反向代理之后或进行网络分段，以限制攻击者访问。备份关键数据并验证恢复程序，以减轻利用可能造成的损害。最后，向Web管理员普及此漏洞知识，并鼓励他们对入侵迹象保持警惕。

受影响国家 德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

来源：CVE数据库 V5 发布日期：2025年12月13日，星期六

技术细节

• 数据版本： 5.2
• 分配者简称： Wordfence
• 保留日期： 2025-12-10T18:24:03.085Z
• Cvss版本： 3.1
• 状态： 已发布