摘要

在 Learnify WordPress 主題中披露了一個關鍵的本地文件包含 (LFI) 漏洞，影響版本 ≤ 1.15.0 (CVE-2025-60085)。該缺陷允許未經身份驗證的攻擊者從網絡服務器中包含和顯示本地文件。此漏洞的嚴重性高 (CVSS 8.1)，並且可以廣泛利用 — 暴露文件如 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, 、環境文件和其他可讀的伺服器端文件。後果可能包括憑證洩露、數據庫妥協，並根據環境可能導致整個網站的接管。.

如果您的網站使用 Learnify，請將此視為緊急事項。以下指導解釋了漏洞、利用技術、檢測指標、立即緩解措施以及針對網站擁有者和管理員的事件響應步驟。.

什麼是本地文件包含 (LFI)？

本地文件包含發生在用戶控制的輸入決定應用程序包含或讀取哪個伺服器端文件時，且未經充分驗證。在基於 PHP 的應用程序中，這可能看起來像：

• include($_GET['template']);
• require_once($_REQUEST['page']);

如果攻擊者控制該輸入，他們可以強迫應用程序讀取任意本地文件。常見影響：

• 機密信息洩露（數據庫憑證、API 密鑰）。.
• 用於後續攻擊的信息收集。.
• 當與其他錯誤配置或易受攻擊的包裝器鏈接時，可能導致遠程代碼執行 (RCE)（例如，, php:// 包裝器）。.

為什麼這個 Learnify LFI 是危險的

主要事實：

• 影響：Learnify 主題 ≤ 1.15.0。.
• CVE：CVE-2025-60085。.
• 所需權限：無（未經身份驗證）。.
• CVSS：8.1（高）。.
• 在披露時：沒有保證的供應商修補程序可用 — 網站擁有者必須及時應用緩解措施。.

此 LFI 是高優先級的，因為它是未經身份驗證的，易於大規模掃描，目標是經常包含憑證的文件（如 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。），並且可以鏈接以升級為更嚴重的妥協。.

技術細節（攻擊者通常如何利用 LFI）

攻擊者在利用 LFI 時遵循常見步驟。理解這一模式有助於檢測和緩解。.

1. 尋找入口點
   尋找包含使用請求參數影響的變量的主題代碼，例如：
   include( $theme_dir . '/' . $_GET['tpl'] );
2. 路徑遍歷
   載荷包括遍歷序列以達到敏感文件：
   ../../../../etc/passwd 或 ../../../../wp-config.php.
3. 使用包裝器來讀取文件
   像這樣的包裝器 php://filter 可以強制可打印輸出：
   ?tpl=php://filter/convert.base64-encode/resource=../../../../wp-config.php.
4. 空字節和編碼技巧
   Older servers might be targeted with null byte (%00) truncation or encoded payloads:
   ?tpl=../../../../wp-config.php%00.
5. 後期利用
   提取的憑證可以用來訪問數據庫、創建管理用戶、安裝後門或上傳 PHP shell（如果存在可寫區域）。.

此披露表明 Learnify 的包含邏輯未能充分驗證用戶提供的路徑，從而啟用了上述方法。.

需要注意的指標和惡意請求模式

在日誌中搜索這些模式：

• php://filter/convert.base64-encode/resource=
• 來自單一 IP 或小範圍 IP 的重複 ../ 或編碼變體如 ..%2F..%2F
• 空字節嘗試： %00
• 對主題 PHP 文件的請求，帶有查詢參數，例如 ?tpl= 或 ?page=
• 正常 HTML 回應中的長 base64 字串（檔案內容編碼）

可疑請求範例:

GET /wp-content/themes/learnify/somefile.php?template=php://filter/convert.base64-encode/resource=../../../../wp-config.php HTTP/1.1

如果您看到這種模式，請將其視為高優先級並立即調查。.

立即行動檢查清單（前幾小時）

如果您的網站使用 Learnify ≤ 1.15.0，請立即執行以下步驟：

1. 將網站置於維護模式或應用臨時訪問控制（IP 白名單）以減少暴露。.
2. 切換到乾淨的主題（WordPress 預設）或從公開目錄中移除易受攻擊的主題。不要讓易受攻擊的主題保持啟用狀態。.
3. 如果發布了官方修補程式，請立即應用。如果沒有，請使用以下緩解措施。.
4. 應用伺服器級別的規則以阻止遍歷序列和 php:// 包裝嘗試（在網頁伺服器層的虛擬修補）。.
5. 在您擁有可靠的備份並檢查過是否有妥協跡象之前，請勿更改資料庫憑證；當安全時，輪換資料庫密碼和秘密。.
6. 在您已經修復並驗證完整性後，輪換秘密金鑰和鹽值。 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 在您已經修復並驗證完整性後，輪換秘密金鑰和鹽值。.
7. 掃描 webshell、可疑檔案和修改的時間戳。.
8. 如果您檢測到妥協，請從經過驗證的乾淨備份中恢復。.
9. 增加監控：啟用檔案完整性檢查、審計日誌和警報。.

如果您缺乏內部能力，請聯繫您的託管提供商或可信的安全顧問，並分享上述指標。.

如何檢測您的網站是否已被利用

即使在移除易受攻擊的主題或應用修補後，仍需檢查是否有妥協的痕跡：

• 新增或修改的檔案位於 wp-content/uploads, wp-content/themes, wp-content/plugins, ，或意外的位置。.
• WordPress 中的新管理員用戶（檢查 wp_users 表格）。.
• 存儲在數據庫中的可疑計劃任務或 cron 條目。.
• 來自未知 IP 的出站連接（檢查防火牆/主機日誌）。.
• 異常的 CPU/IO 使用或流量激增。.
• 來自不熟悉帳戶的數據庫查詢或在慢日誌中的意外查詢。.
• 不明的 PHP 文件或使用編碼腳本的 評估, base64_解碼, ，或 gzinflate.

建議的行動：文件完整性工具、惡意軟件掃描和關鍵文件的手動檢查（9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, .htaccess, ，主題和插件的進入點）。.

事件響應：逐步操作手冊

1. 隔離
   • 將網站下線或阻止流量以防止進一步損害。.
   • 撤銷被妥協的憑證和 API 密鑰。.
   • 如果可行，將伺服器與網絡隔離。.
2. 如果可能，將網站下線（維護模式）。
   • 備份日誌（網絡伺服器、數據庫、應用程序）以及（如有需要）磁碟映像。.
   • 保留時間戳以進行取證分析；不要覆蓋日誌。.
3. 根除
   • 移除後門、殼和惡意腳本。.
   • 從經過驗證的乾淨來源重新安裝 WordPress 核心、插件和主題。.
   • 如果懷疑伺服器級持久性，則從乾淨映像重建伺服器。.
4. 恢復
   • 從乾淨的備份中恢復（在妥協之前）。.
   • 應用安全補丁和加固措施。.
   • 更改所有密碼並輪換金鑰和鹽值。.
5. 恢復後
   • 加強監控和日誌記錄。.
   • 進行事後分析以識別失敗的控制措施並填補漏洞。.
   • 更新事件響應計劃並教育團隊。.
6. 通知
   • 通知利益相關者和您的託管提供商。根據適用情況遵循當地的法規或合同通知要求。.

硬化建議以降低 LFI 風險

1. 最小權限原則
   確保最小的文件和目錄權限。大多數 WordPress 文件應該可由網頁伺服器讀取，但不可寫入。只有 wp-content/uploads 應該可寫入以進行上傳。.
2. PHP 配置
   禁用 allow_url_include, ，通過限制 open_basedir, ，並禁用不必要的功能，如 執行, shell_exec, ，如果您的環境不需要的話。.
3. 禁用內建編輯器
   添加到 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。:

   define('DISALLOW_FILE_EDIT', true);

4. 確保上傳安全
   防止在 wp-content/uploads 中執行 PHP 文件，使用伺服器規則（以下是示例）。.
5. 旋轉鹽值和金鑰
   使用強大且獨特的鹽值，並在修復後輪換它們以使現有會話失效。.
6. 備份和測試
   維護定期的離線備份並定期測試恢復。.
7. 代碼審查和分階段升級
   在部署之前審查第三方主題/插件，或在驗證之前限制其使用。.

實用的 WAF 規則和服務器級緩解措施

網路伺服器級別的阻擋（虛擬修補）可以在官方修補不可用時爭取時間。在生產環境中應用之前，先在測試系統上測試規則。.

重要的模式以檢測和阻擋：

• 任何包含的參數值 php://filter
• 具有多個的參數 ../ 序列
• 空字節嘗試（%00)
• 嘗試包含的請求 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, .env, /etc/passwd

示例 ModSecurity/CRS 風格的規則：

# Block common LFI attack signatures
SecRule REQUEST_URI|ARGS|ARGS_NAMES|REQUEST_HEADERS "@rx (?i)((\.\./)|(\.\.\\)|php://filter|php%3A%2F%2Ffilter|%00|/etc/passwd|wp-config.php)" \
    "id:1009001,phase:1,deny,status:403,log,msg:'Potential LFI attempt blocked',severity:2,tag:'LFI',tag:'OWASP_TOP_10_A03'"

Nginx 規則示例：

if ($request_uri ~* "(php://filter|%00|\.\./){1,}") {
    return 403;
}

Apache .htaccess 阻擋上傳中 PHP 執行的片段：

# 保護上傳 - 防止 PHP 執行

小心應用這些規則 — 過於寬泛的規則可能會破壞合法功能。優先考慮測試/測試和逐步部署。.

示例檢測正則表達式和日誌分析提示

使用這些模式進行自動化日誌掃描（不區分大小寫）：

(?i)(php%3A%2F%2Ffilter|php://filter|(\.\./){2,}|(\.\.\\){2,}|%00|wp-config\.php|/etc/passwd)

對日誌條目發出警報，例如：

• GET /wp-content/themes/learnify/… ?…=php://filter/convert.base64-encode/resource=../../../../wp-config.php
• 任何使用的請求 php:// 包裝器
• 在正常的 HTML 頁面中返回 base64 編碼內容的響應

每日掃描這些簽名的日誌，並在匹配時通知管理員。.

安全測試以檢查漏洞（僅限網站擁有者）

僅在您擁有或運營的網站上執行這些檢查。請勿測試第三方網站。.

1. 使用非破壞性 php://filter 請求針對已知的無害文件（例如主題 readme).
2. 示例請求：

GET /wp-content/themes/learnify/index.php?tpl=php://filter/convert.base64-encode/resource=inc/readme.html

如果響應包含解碼為文件內容的 base64 字串，則包含功能存在漏洞。立即停止測試並進行緩解。.

補救決策樹

根據官方補丁的可用性選擇適當的路徑：

• 如果存在已修補版本： 立即更新，然後驗證完整性（文件掃描，密碼輪換）。.
• 如果不存在補丁： 將主題從活動使用中移除，應用伺服器級別的規則以阻止利用，並考慮用維護的替代品替換主題。.
• 如果無法移除主題： 強制執行嚴格的訪問控制（IP 白名單），應用嚴格的伺服器規則，並增加監控和頻繁的完整性檢查。.

補救後：驗證和監控

應用修復後：

1. 重新運行自動化漏洞和惡意軟體掃描器。.
2. 驗證是否存在意外的管理帳戶或排程任務。.
3. 檢查是否有意外的外發網路活動。.
4. 確保備份是乾淨且最近的。.
5. 在修復後至少保持加強監控30天。.

常見問題（FAQ）

問：LFI會導致遠端代碼執行嗎？

答：LFI主要是一種文件讀取/包含漏洞。如果攻擊者能夠包含他們控制的文件（例如，上傳的PHP文件）或將LFI與其他不安全的配置（可寫目錄、危險的包裝器）鏈接，則可能會發生RCE。.

問：我使用Learnify的子主題——我會受到影響嗎？

答：可能會。子主題繼承父主題的代碼。如果Learnify父主題中存在漏洞邏輯，且該父主題版本≤ 1.15.0，則您可能會受到影響。檢查父主題版本並相應採取行動。.

問：我已經修補了主題——我還需要更換憑證嗎？

答：是的。修補防止新的利用，但不會消除任何先前的妥協。如果有任何暴露，請更換數據庫密碼、API密鑰和鹽。.

問：我如何能夠獲得類似漏洞的通知？

答：訂閱可信的安全通告和郵件列表，啟用已安裝主題/插件的自動漏洞警報，並保持日誌和監控活動。.

從香港安全的角度看最後的想法

此Learnify LFI披露突顯了一個反覆出現的現實：第三方主題和插件可能引入關鍵弱點。在香港快速變化的數位環境中，優先事項是速度和徹底性——迅速行動以控制暴露，並全面調查以確定是否有憑證或系統被訪問。.

實際優先事項：迅速移除或隔離易受攻擊的組件，應用伺服器級的緩解措施，驗證完整性，更換密鑰，並持續監控。如果您管理多個網站，將此披露視為清點主題版本並強制升級或替換計劃的提示。.

對於沒有內部安全能力的組織，聘請合格的安全顧問或您的主機支持團隊協助控制、取證和修復。.

附錄A：快速檢查清單（複製/粘貼）

• [ ] 確認是否安裝了Learnify ≤ 1.15.0。.
• [ ] 切換到不同的主題或停用Learnify。.
• [ ] 應用伺服器規則以阻止 php://filter 和路徑遍歷嘗試。.
• [ ] 掃描網頁殼和未經授權的文件修改。.
• [ ] 旋轉資料庫憑證和 WordPress 鹽值。.
• [ ] 如果檢測到妥協，從乾淨的備份中恢復。.
• [ ] 實施文件權限加固。.
• [ ] 啟用文件完整性監控和警報。.
• [ ] 在修復後監控日誌 30 天。.

附錄 B：其他資源和參考資料

• CVE-2025-60085 警告
• PHP 加固最佳實踐（open_basedir，禁用危險函數）
• WordPress 安全手冊和管理指南
• WAF 調整和規則測試指南（在生產之前在測試環境中測試）

重要： 上述行動在操作上是敏感的。如果您懷疑妥協並且缺乏遵循事件應對計劃的技能，請尋求值得信賴的專業安全響應者或您的主機提供商的協助。.