CVE-2025-14475: CWE-98 PHP程序中Include/Require语句文件名控制不当（PHP远程文件包含）漏洞分析

严重性：高 类型：漏洞

CVE-2025-14475

适用于WordPress的WPBakery页面构建器插件Extensive VC Addons在所有版本（包括1.9.1及之前版本）中，通过extensive_vc_get_module_template_part函数存在本地文件包含漏洞。这是由于在extensive_vc_init_shortcode_pagination AJAX操作中，对用户提供的shortcode_name参数路径规范化和验证不足所致。这使得未经身份验证的攻击者能够在服务器上包含并执行任意PHP文件，从而通过shortcode_name参数执行这些文件中的任何PHP代码。

AI分析

技术摘要

CVE-2025-14475是一个被归类为CWE-98的本地文件包含漏洞，发现于WordPress的WPBakery页面构建器插件Extensive VC Addons中。该缺陷存在于extensive_vc_get_module_template_part函数中，特别是在处理extensive_vc_init_shortcode_pagination AJAX操作内的shortcode_name参数时。由于路径规范化和验证不足，攻击者可以操纵此参数来包含服务器上的任意PHP文件。这种包含会导致执行这些文件中包含的任何PHP代码，从而有效地实现无需身份验证或用户交互的远程代码执行。该漏洞影响所有插件版本，包括1.9.1及之前版本。其CVSS v3.1评分为8.1，表明严重性高，具有网络攻击向量、高攻击复杂度、无需权限、无需用户交互，并且对机密性、完整性和可用性有全面影响。虽然目前没有已知的公开漏洞利用程序，但该漏洞的性质以及WPBakery页面构建器及其插件的流行性，使其成为WordPress网站的重大风险。攻击者可以利用此漏洞危害Web服务器、窃取敏感数据、部署恶意软件或在网络内横向移动。在披露时缺乏可用补丁，需要管理员立即采取缓解措施。

潜在影响

对于欧洲组织而言，此漏洞对使用Extensive VC Addons for WPBakery page builder插件构建在WordPress上的网站和Web应用程序构成重大风险。成功利用可导致服务器完全被攻陷、数据泄露、网站篡改或将服务器用作进一步攻击的跳板。鉴于WordPress在欧洲（包括中小企业、政府机构和电子商务平台）的广泛采用，潜在影响包括：因数据泄露导致客户信任丧失、根据GDPR受到的监管处罚、运营中断和财务损失。无需身份验证即可远程执行任意PHP代码的能力提高了威胁级别，尤其是对于那些缺乏强大Web应用程序防火墙或监控的组织。该漏洞也可能被利用来部署勒索软件或其他恶意软件，从而放大影响。依赖此插件的组织必须考虑其Web基础设施和数据机密性所面临的风险，尤其是那些处理个人或敏感信息的组织。

缓解建议

立即缓解措施包括：在供应商发布补丁之前，禁用或删除Extensive VC Addons for WPBakery page builder插件。管理员应监控Web服务器日志，查找针对extensive_vc_init_shortcode_pagination操作且带有异常shortcode_name参数的可疑AJAX请求。实施具有自定义规则的Web应用程序防火墙（WAF），以阻止在此参数中包含目录遍历模式或意外输入的请求，这可以减少暴露风险。限制服务器上的文件权限以防止未经授权的PHP文件包含和执行至关重要。组织还应确保其WordPress核心、主题和插件定期更新，并开展侧重于插件漏洞的安全审计。如果补丁延迟，考虑将受影响的Web服务器隔离在反向代理之后或进行网络分段，以限制攻击者的访问。备份关键数据并验证恢复程序，以减轻利用漏洞可能造成的损害。最后，对Web管理员进行有关此漏洞的教育，并鼓励其对入侵迹象保持警惕。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

技术详情

• 数据版本： 5.2
• 分配者简称： Wordfence
• 预留日期： 2025-12-10T18:24:03.085Z
• Cvss 版本： 3.1
• 状态： 已发布

威胁ID： 693cef65d977419e584a50a2 添加到数据库： 2025年12月13日 4:45:25 最后丰富： 2025年12月13日 5:00:25 最后更新： 2025年12月13日 12:33:14 浏览量： 7

来源： CVE数据库 V5 发布日期： 2025年12月13日星期六