WordPress Karzo主题本地文件包含漏洞分析

本文详细分析了CVE-2025-58955漏洞,该漏洞影响WordPress Karzo主题2.6以下版本,存在PHP本地文件包含安全风险,攻击者可利用此漏洞读取服务器敏感文件,CVSS评分为8.1分的高危漏洞。

概述

CVE-2025-58955是一个影响WordPress Karzo主题的高危漏洞,该漏洞存在于2.6版本之前的所有版本中。

漏洞描述

PHP程序中文件名包含/请求语句的不当控制(‘PHP远程文件包含’)漏洞,存在于designervily开发的Karzo主题中,允许PHP本地文件包含。此问题影响Karzo主题:从n/a到2.6以下版本。

漏洞详情

发布日期:2025年10月22日 15:15
最后修改:2025年10月22日 21:12
远程利用:是
漏洞来源:audit@patchstack.com

CVSS评分

评分:8.1
版本:CVSS 3.1
严重程度:高危
向量:AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
可利用性评分:2.2
影响评分:5.9

解决方案

  • 将Karzo主题更新到2.6或更高版本
  • 应用供应商提供的补丁

相关参考资料

URL:https://vdp.patchstack.com/database/Wordpress/Theme/karzo/vulnerability/wordpress-karzo-theme-2-6-local-file-inclusion-vulnerability

CWE关联

CWE-98:PHP程序中包含/请求语句的文件名控制不当(‘PHP远程文件包含’)

CAPEC关联

CAPEC-193:PHP远程文件包含攻击模式

漏洞时间线

2025年10月22日 - 由audit@patchstack.com报告新CVE
2025年10月22日 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0修改CVSS评分

攻击向量分析

  • 攻击向量:网络
  • 攻击复杂度:高
  • 所需权限:无
  • 用户交互:无
  • 影响范围:未改变
  • 机密性影响:高
  • 完整性影响:高
  • 可用性影响:高
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次