執行摘要

影響 FindAll WordPress 主題 (版本 ≤ 1.4) 的本地文件包含 (LFI) 漏洞已被公開披露並分配了 CVE-2026-22478。該缺陷允許未經身份驗證的攻擊者從目標網站包含和顯示本地文件，可能暴露秘密（數據庫憑證、配置文件），使進一步攻擊（如遠程代碼執行）成為可能，或根據伺服器配置允許完全網站妥協。.

從香港及更廣泛地區的實踐者角度來看，這是一個高風險問題 (CVSS ~8.1)。自披露後，自動掃描器和僵屍網絡將嘗試進行大規模利用。當供應商補丁尚未可用時，需要立即緩解。.

注意： 本公告避免了利用級別的指導。其目的是為管理員提供快速、實用的指導，以降低風險並負責任地做出反應。.

關於本公告

• 受影響的軟體：FindAll WordPress 主題
• 受影響的版本：≤ 1.4
• 漏洞類型：本地文件包含 (LFI)
• CVE：CVE-2026-22478
• 所需權限：無（未經身份驗證）
• 嚴重性：高 (CVSS 8.1)
• 補丁狀態：發佈時沒有官方補丁可用

什麼是本地文件包含及其危險性

當應用程序接受用戶控制的輸入以指定要包含或從伺服器文件系統讀取的文件而未進行適當驗證時，就會發生本地文件包含。當攻擊者控制該輸入時，他們可能會：

• 讀取敏感的配置文件（例如，wp-config.php，.env）並獲取數據庫憑證和秘密金鑰。.
• 獲取訪問數據庫、外部服務或 WordPress 管理帳戶的憑證。.
• 鏈式攻擊：讀取文件以獲取憑證，然後使用這些憑證修改內容、注入 webshell 或訪問數據庫。.
• 觸發包含包含攻擊者提供的 PHP 代碼的日誌文件或上傳文件（如果 PHP 在可寫目錄中執行，則導致 RCE）。.
• 暴露伺服器路徑信息，幫助進一步利用。.

因為這個 LFI 在無需身份驗證的情況下可被利用，並且針對常見的主題文件路徑，受影響的網站應將其視為緊急操作優先事項。.

現實的利用場景

LFI 的常見攻擊者工作流程包括：

1. 列舉並閱讀配置文件（wp-config.php，.env）以提取數據庫憑證和密鑰。.
2. 閱讀系統文件以進行偵察（例如，/etc/passwd）以及可能包含秘密的備份或開發者文件。.
3. 日誌中毒或上傳控制的文件包含，以在伺服器稍後包含這些文件時實現代碼執行。.
4. 使用提取的憑證獲得持久訪問：創建管理用戶、修改內容或上傳後門。.

由於利用不需要身份驗證，預期在公開披露後不久會有自動化的高流量掃描和利用嘗試。.

受損指標（IoCs）及需注意的事項

檢查日誌和文件系統狀態以尋找這些信號：

伺服器訪問日誌

• 參數中包含的請求，例如 檔案=, 包含=, 頁面=, 模板=, 路徑=, ，或 檢視= 與 ../ 或編碼的遍歷標記（%2e%2e%2f).
• 雙重編碼的遍歷序列，如 %252e%252e%252f.
• 嘗試獲取的請求 /etc/passwd, 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, .env, php://filter/convert.base64-encode/resource=, ，或 data://.
• 對於遍歷模式請求的 4xx/5xx 響應的激增。.

請求主體

• 包含的 POST 或 GET 參數 .., %2f, php://, 數據：, ，或長的 base64 二進位資料。.

文件系統和內容

• 上傳、緩存或主題目錄中的新或修改的 PHP 文件。.
• 意外的管理用戶或更改的網站設置（網站 URL、管理電子郵件）。.
• 可疑的排程任務或未知條目在 wp_options.

數據庫

• 帖子中出現意外內容或包含混淆的 PHP 或腳本的選項。.
• 新的數據庫用戶或修改的權限。.

如果您觀察到這些跡象，請將網站視為可能已被攻擊，並遵循下面的事件響應檢查清單。.

立即緩解措施（短期，預補丁）

如果您的網站使用 FindAll 主題（≤ 1.4），請立即執行這些操作：

1. 進行備份（文件 + 數據庫）

   在進行任何更改之前執行完整的離線備份。如有需要，保留一份副本以供取證分析。.

2. 將網站置於維護模式（如果適用）

   在您進行緩解時限制進一步的自動攻擊。.

3. 移除或禁用易受攻擊的主題

   如果可行，切換到安全的主動主題。如果該主題是必需的且無法快速更換，考慮暫時將網站下線並提供靜態頁面。.

4. 限制對易受攻擊端點的訪問

   通過網絡服務器規則阻止對接受包含參數的特定主題文件的公共訪問。禁用上傳/緩存/臨時目錄中的公共可寫 PHP 執行。.

5. 立即應用 WAF / 虛擬補丁規則

   如果您管理 Web 應用防火牆或基於主機的規則集，部署以下規則：

   • 阻止目錄遍歷模式： ../, %2e%2e%2f, ..%2f, %2e%2e%5c.
   • 阻止可疑的包裝器： php://, 數據：, expect://, file://.
   • 阻止嘗試訪問敏感文件的請求： 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, .env, config.php.
   • 阻止 php://filter 用於文件讀取的構造。.

   優先使用白名單來選擇文件的任何參數，盡可能僅允許已知安全的文件名。.

6. 加強文件權限

   確保 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 不可被全世界讀取。將上傳/緩存目錄設置為限制性權限，並通過 .htaccess 或服務器配置禁用這些目錄中的 PHP 執行。.

7. 掃描惡意文件和可疑修改

   使用可信的掃描器和手動審查來定位 webshell 或不尋常的 PHP 文件。檢查主題、插件和上傳目錄中最近修改的文件。.

8. 如果懷疑有洩露，則輪換密鑰

   如果您發現跡象表明 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 或其他秘密被訪問，立即更換數據庫憑據和任何受影響的 API 密鑰或令牌。.

9. 密切監控日誌

   繼續監控訪問和錯誤日誌，以查找利用嘗試和不尋常的活動。.

建議的 WAF 規則（概念示例）

以下是阻止常見 LFI 利用模式的防禦規則概念。根據您的 WAF 語法進行調整，並在廣泛部署之前在測試環境中進行測試。.

高級檢查

• 阻止包含的參數值 \.\./ 或 %2e%2e%2f （不區分大小寫）。.
• 阻止包含的值 php://, 數據：, file://, expect://.
• 阻止包含的請求 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 或 .env 在查詢字符串或主體中。.
• 優先使用允許列表作為文件選擇參數，盡可能可行。.

ModSecurity（示例規則 — 根據您的環境進行調整）

# Block common directory traversal attempts
SecRule ARGS|ARGS_NAMES|REQUEST_URI "(?:\.\./|\.\.\\|%2e%2e%2f|%2e%2e%5c)" "id:100001,phase:2,deny,log,msg:'Detect Directory Traversal LFI attempt'"

# Block access to wp-config.php or .env via query string or body
SecRule REQUEST_URI|ARGS|REQUEST_HEADERS "(wp-config\.php|\.env|config\.php)" "id:100002,phase:2,deny,log,msg:'Blocked attempt to access sensitive file'"

# Block php wrappers
SecRule ARGS|REQUEST_URI "(?:php://|data:|expect://|file://|phar://)" "id:100003,phase:2,deny,log,msg:'Blocked wrapper usage in input'"

# Optional: detect file-selection parameters for closer inspection
SecRule ARGS_NAMES "file|template|include|page|view|path" "id:100004,phase:2,pass,log,msg:'Detected file selection parameter'"

Nginx（概念示例）

# Deny requests that contain traversal patterns
if ($request_uri ~* "\.\./|%2e%2e%2f") {
    return 403;
}

# Deny parameters that mention wp-config.php
if ($query_string ~* "wp-config\.php|\.env") {
    return 403;
}

注意：這些是概念性的。根據您的服務器/WAF 技術進行調整，並徹底測試以避免誤報。優先使用正面允許列表作為文件選擇參數，盡可能可行。.

安全檢測規則（非阻擋；監控模式）

如果無法立即阻擋，請設置檢測警報以便：

• 任何請求中包含目錄遍歷標記的參數或POST主體。.
• 包含 php://filter 的用法。.
• 嘗試獲取的請求 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, .env, ，或 /etc/passwd 通過應用程序。.
• 進行重複LFI類嘗試的異常用戶代理或IP。.

僅檢測模式提供取證證據，並讓您在切換到阻擋之前調整規則。.

事件響應檢查清單（逐步）

1. 隔離

   應用WAF規則以阻擋進一步的嘗試（阻擋模式或違規IP）。如有必要，將網站下線。.

2. 保留

   創建日誌、文件和數據庫快照的取證副本。保留任何可疑文件以供分析。.

3. 檢測

   掃描webshell和意外的PHP文件。檢查訪問和錯誤日誌以查找可疑的參數和請求。.

4. 根除

   刪除已識別的後門和惡意文件。用來自受信備份的乾淨副本替換受損文件。.

5. 恢復

   旋轉憑證（數據庫、FTP、SSH、API密鑰）。從受信來源重新安裝WordPress核心、主題和插件。如有需要，從乾淨的備份中恢復。.

6. 事件後

   進行全面的安全審計：文件權限、已安裝組件和伺服器配置。加強WAF規則和監控。根據需要通知利益相關者。.

7. 報告

   如果客戶數據被暴露，請遵守適用的法律和披露要求。.

加固和長期緩解

為了減少此類漏洞的風險，實施以下最佳實踐：

• 保持主題、插件和WordPress核心更新，並維護緊急修補計劃。.
• 最小化已安裝的組件：刪除未使用的主題/插件。.
• 在官方修補程序不可用時，暫時使用虛擬修補，但將其視為權宜之計。.
• 在中禁用 PHP 執行 18. — 特別是非圖片內容或具有不一致 MIME 類型的文件。, ，緩存目錄和類似的可寫位置使用伺服器配置。.
• 對數據庫用戶使用最小權限；僅授予必要的權限。.
• 實施檔案完整性監控以檢測意外變更。.
• 維護定期的、經過測試的備份，並存儲在異地或離線。.
• 掃描代碼庫和第三方組件（軟體組成分析）以尋找易受攻擊的依賴項。.
• 定期進行安全審查和滲透測試。.

虛擬修補/管理保護如何幫助（實際解釋）

當漏洞被披露且尚未有供應商修補程式可用時，邊界的虛擬修補（WAF）可以通過以下方式減少暴露：

• 在已知攻擊模式到達易受攻擊的代碼之前，攔截並阻止它們。.
• 當觀察到新的利用模式時，迅速更新。.
• 允許針對性阻止以最小化誤報（例如，僅阻止遍歷或包裝器使用）。.
• 在您計劃和部署永久修復的同時，提供立即的臨時保護。.

虛擬修補是一種緩解措施，而不是供應商提供的修補程式的替代品。當安全的供應商修補程式可用時，計劃進行永久修復。.

實際範例：在日誌中查找的內容（樣本）

GET /?file=../../../../wp-config.php HTTP/1.1

如果您發現此類條目，請封鎖該 IP，保留日誌，並及時調查。.

如果網站被攻擊 — 修復優先事項

1. 撤銷暴露的憑證（輪換數據庫密碼、API 密鑰）。.
2. 強制重置管理員和特權帳戶的密碼。.
3. 從已知乾淨的來源重新安裝 WordPress 核心、主題和插件。.
4. 用已知良好的版本替換受損的文件。.
5. 搜尋並移除後門；仔細檢查最近修改的文件。.
6. 加固配置並應用 WAF 規則以防止重新利用。.

為機構和主機提供通信指導

如果您管理多個客戶網站或託管 WordPress 實例：

• 快速識別使用受影響主題（≤ 1.4）的网站。.
• 優先考慮面向外部的商業網站和處理敏感數據的網站。.
• 在可能的情況下，應用一致的虛擬修補，以減少每個網站的開銷。.
• 與客戶清晰溝通：說明您所做的更改、原因以及下一步，包括備份和憑證輪換。.

為什麼主動安全很重要

廣泛分發主題中的LFI漏洞對攻擊者具有吸引力，因為利用可以自動化和擴展。等待供應商修補會增加數據丟失和服務中斷的風險。主動措施——虛擬修補、持續監控、定期更新和事件計劃——實質上減少了風險和恢復時間。.

常見問題（FAQ）

問：我的主題已更新到修補版本——我還需要邊界保護嗎？

答：是的。邊界WAF提供深度防禦，並可以在您測試和部署更新時阻止利用嘗試。它還有助於保護您可能尚未修補的其他漏洞。.

問：WAF規則會破壞合法功能嗎？

答：精心設計的規則可以最小化誤報。首先在檢測模式下測試，然後在規則集驗證後切換到阻止模式。在可能的情況下，對合法文件選擇參數使用白名單。.

問：我在日誌中發現可疑請求——我應該首先做什麼？

答：在邊界阻止有問題的IP，保留日誌，進行備份，並遵循上述事件響應檢查表。.

最終建議

• 如果您使用受影響的主題，請將CVE-2026-22478（FindAll主題≤1.4 LFI）視為立即威脅。.
• 如果可能，立即禁用或替換該主題；否則，應用WAF/虛擬修補並加強文件權限。.
• 監控日誌並掃描妥協指標；如果懷疑洩露，請輪換憑證。.
• 保持備份和經過測試的事件響應計劃，以加快未來洩露的恢復。.
• 如果您需要幫助，請尋求可信的安全專業人士或事件響應提供商協助控制、取證分析和恢復。.