WordPress Alloggio酒店预订主题本地文件包含漏洞分析

本文详细分析了CVE-2025-64287漏洞,这是一个影响WordPress Alloggio酒店预订主题1.8及以下版本的本地文件包含漏洞,涉及PHP程序中的文件名控制不当问题,CVSS评分为8.1分的高危漏洞。

概述

CVE-2025-64287是一个影响WordPress Alloggio酒店预订主题的高危漏洞,CVSS 3.1评分为8.1分。

漏洞描述

PHP程序中包含/要求语句的文件名控制不当漏洞(PHP远程文件包含)影响了Edge-Themes开发的Alloggio酒店预订主题,允许PHP本地文件包含。此问题影响Alloggio酒店预订主题:从n/a到1.8及以下版本。

时间线

  • 发布日期:2025年11月6日16:16
  • 最后修改:2025年11月6日19:45
  • 远程利用:否
  • 来源:audit@patchstack.com

受影响产品

目前尚未记录受影响的具体产品信息:

  • 受影响供应商总数:0
  • 产品数量:0

CVSS评分

评分 版本 严重性 向量 可利用性评分 影响评分 来源
8.1 CVSS 3.1 高危 1.5 6.0 134c704f-9b21-4f2e-91b3-4a467353bcc0

解决方案

  • 更新Alloggio酒店预订主题到安全版本
  • 应用可用的安全补丁
  • 检查包含/要求语句,确保正确的输入验证

参考资源

URL 资源
https://vdp.patchstack.com/database/Wordpress/Theme/alloggio/vulnerability/wordpress-alloggio-hotel-booking-theme-theme-1-8-local-file-inclusion-vulnerability 漏洞详情

CWE关联

CWE-98:PHP程序中包含/要求语句的文件名控制不当(PHP远程文件包含)

CAPEC关联

CAPEC-193:PHP远程文件包含攻击模式

漏洞历史记录

2025年11月6日 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0修改

  • 操作:添加CVSS V3.1评分
  • 向量:AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

2025年11月6日 - 由audit@patchstack.com接收新CVE

  • 操作:添加漏洞描述
  • 操作:添加CWE-98
  • 操作:添加参考链接

漏洞评分详情

CVSS 3.1基础评分:8.1

攻击向量:本地 攻击复杂度:低 所需权限:低 用户交互:需要 范围:已更改 机密性影响:高 完整性影响:高 可用性影响:低

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次