WordPress WooCommerce 本地文件包含漏洞(CVE-2025-1661)
免责声明
仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权,请及时与我们联系,我们将尽快处理并删除相关内容。
一:产品介绍
HUSKY – WooCommerce 插件是为 WordPress 网站设计的,特别是针对使用 WooCommerce 插件的电子商务站点。该插件旨在增强和优化用户在 WooCommerce 平台上的购物体验,通过提供一系列高级功能和定制选项,帮助提升网站性能、增加销售并简化后台管理。HUSKY 通过集成先进的库存管理、订单处理自动化、产品展示优化等功能,使得商家能够更加高效地运营其在线商店,同时为顾客提供流畅、直观的购物界面。该插件还支持多种语言和货币,便于国际市场的拓展,是提升 WooCommerce 站点功能和吸引力的理想选择。
二:漏洞描述
适用于 WordPress 的 HUSKY – WooCommerce 插件的 HUSKY – Products Filter Professional for WooCommerce 插件在 1.3.6.5 之前的所有版本中都容易受到本地文件包含的攻击,通过 woof_text_search AJAX作的“template”参数。这使得未经身份验证的攻击者可以在服务器上包含和执行任意文件,从而允许执行这些文件中的任何 PHP 代