摘要

在 Learnify WordPress 主题中发现了一个关键的本地文件包含 (LFI) 漏洞，影响版本 ≤ 1.15.0 (CVE-2025-60085)。该缺陷允许未经身份验证的攻击者从网络服务器中包含和显示本地文件。此漏洞的严重性很高 (CVSS 8.1)，并且可以广泛利用 — 暴露文件如 wp-config.php, 、环境文件和其他可读的服务器端文件。后果可能包括凭据泄露、数据库被攻破，以及根据环境可能导致的整个网站接管。.

如果您的网站使用 Learnify，请将此视为紧急事项。以下指导解释了漏洞、利用技术、检测指标、立即缓解措施以及针对网站所有者和管理员的事件响应步骤。.

什么是本地文件包含 (LFI)？

本地文件包含发生在用户控制的输入决定应用程序包含或读取哪个服务器端文件时，且没有足够的验证。在基于 PHP 的应用程序中，这可能看起来像：

• include($_GET['template']);
• require_once($_REQUEST['page']);

如果攻击者控制了该输入，他们可以强迫应用程序读取任意本地文件。常见影响：

• 秘密泄露（数据库凭据、API 密钥）。.
• 为后续攻击收集信息。.
• 当与其他错误配置或易受攻击的包装器（例如，, php:// 包装器）链式结合时，可能导致远程代码执行 (RCE)。.

为什么这个 Learnify LFI 是危险的

关键事实：

• 影响：Learnify 主题 ≤ 1.15.0。.
• CVE：CVE-2025-60085。.
• 所需权限：无（未经身份验证）。.
• CVSS：8.1（高）。.
• 在披露时：没有保证的供应商补丁可用 — 网站所有者必须及时应用缓解措施。.

这个 LFI 是高优先级的，因为它是未经身份验证的，易于大规模扫描，目标是通常包含凭据的文件（如 wp-config.php), 并可以链接以升级为更严重的妥协。.

技术细节（攻击者通常如何利用LFI）

攻击者在利用LFI时遵循常见步骤。理解这一模式有助于检测和缓解。.

1. 找到入口点
   查找包含使用受请求参数影响的变量的文件的主题代码，例如：
   include( $theme_dir . '/' . $_GET['tpl'] );
2. 路径遍历
   有效载荷包括遍历序列以访问敏感文件：
   ../../../../etc/passwd 或 ../../../../wp-config.php.
3. 使用包装器读取文件
   像 php://filter 可以强制输出可打印内容：
   ?tpl=php://filter/convert.base64-encode/resource=../../../../wp-config.php.
4. 空字节和编码技巧
   Older servers might be targeted with null byte (%00) truncation or encoded payloads:
   ?tpl=../../../../wp-config.php%00.
5. 后期利用
   提取的凭据可用于访问数据库、创建管理员用户、安装后门或在可写区域上传PHP shell。.

披露表明Learnify包含逻辑未能充分验证用户提供的路径，从而启用了上述方法。.

需要注意的指标和恶意请求模式

在日志中搜索这些模式：

• php://filter/convert.base64-encode/resource=
• 重复的 ../ 或编码变体，如 ..%2F..%2F
• 空字节尝试： %00
• 1. 带有查询参数的主题 PHP 文件请求，如 2. ?tpl= 或 ?页面=
• 3. 正常 HTML 响应中的长 base64 字符串（文件内容编码）

4. 示例可疑请求:

5. GET /wp-content/themes/learnify/somefile.php?template=php://filter/convert.base64-encode/resource=../../../../wp-config.php HTTP/1.1

6. 如果您看到此模式，请将其视为高优先级并立即调查。.

7. 立即行动检查清单（前几小时）

8. 如果您的网站使用 Learnify ≤ 1.15.0，请立即执行以下步骤：

1. 9. 将网站置于维护模式或应用临时访问控制（IP 允许列表）以减少暴露。.
2. 10. 切换到干净的主题（WordPress 默认）或从面向公众的目录中删除易受攻击的主题。不要让易受攻击的主题处于活动状态。.
3. 11. 如果发布了官方补丁，请立即应用。如果没有，请使用以下缓解措施。.
4. 12. 应用服务器级规则以阻止遍历序列和 php:// 13. 封装尝试（在 Web 服务器层进行虚拟补丁）。.
5. 14. 在您拥有可靠的备份并检查是否有妥协迹象之前，请勿更改数据库凭据；在安全时，轮换数据库密码和密钥。.
6. 15. 在您修复并验证完整性后，轮换密钥和盐。 wp-config.php 在您完成修复并验证完整性后。.
7. 17. 扫描 Webshell、可疑文件和修改的时间戳。.
8. 18. 如果检测到妥协，请从经过验证的干净备份中恢复。.
9. 19. 增加监控：启用文件完整性检查、审计日志和警报。.

20. 如果您缺乏内部能力，请联系您的托管服务提供商或可信的安全顾问，并分享上述指标。.

如何检测您的网站是否被利用

即使在您删除了易受攻击的主题或应用了修复后，也要检查是否有妥协的痕迹：

• 16. wp-content/themes/* wp-content/uploads, wp-content/themes, wp-content/plugins, ，或意外的位置。.
• WordPress 中的新管理员用户（检查 wp_users 表）。.
• 数据库中存储的可疑计划任务或 cron 条目。.
• 从服务器到未知 IP 的出站连接（检查防火墙/主机日志）。.
• 异常的 CPU/IO 使用或流量激增。.
• 来自不熟悉账户的数据库查询或慢日志中的意外查询。.
• 未知的 PHP 文件或使用编码脚本的 eval, base64_decode, ，或 gzinflate.

推荐的行动：文件完整性工具、恶意软件扫描和对关键文件的手动检查（wp-config.php, .htaccess, ，主题和插件入口点）。.

事件响应：逐步操作手册

1. 控制
   • 将网站下线或阻止流量以防止进一步损害。.
   • 撤销被妥协的凭据和 API 密钥。.
   • 如果可行，将服务器与网络隔离。.
2. 如果可能，将网站下线（维护模式）。
   • 备份日志（web 服务器、数据库、应用程序）和（如有需要）磁盘映像。.
   • 保留时间戳以进行取证分析；不要覆盖日志。.
3. 根除
   • 移除后门、shell 和恶意脚本。.
   • 从经过验证的干净来源重新安装 WordPress 核心、插件和主题。.
   • 如果怀疑服务器级持久性，从干净的映像重建服务器。.
4. 恢复
   • 从干净的备份中恢复（在妥协之前）。.
   • 应用安全补丁和加固措施。.
   • 更改所有密码并轮换密钥和盐。.
5. 恢复后
   • 加强监控和日志记录。.
   • 进行事后分析以识别失败的控制措施并填补漏洞。.
   • 更新事件响应计划并教育团队。.
6. 通知。
   • 通知利益相关者和您的托管服务提供商。根据适用情况遵循当地法规或合同通知要求。.

减少LFI风险的加固建议

1. 最小权限原则
   确保最小文件和目录权限。大多数WordPress文件应可由Web服务器读取，但不可写入。仅 wp-content/uploads 应可写入以进行上传。.
2. PHP配置
   禁用 allow_url_include, ，通过限制 open_basedir, ，并禁用不必要的功能，如 执行, shell_exec, ，如果您的环境不需要的话。.
3. 禁用内置编辑器
   添加到 wp-config.php:

   define('DISALLOW_FILE_EDIT', true);

4. 确保上传安全
   防止在 wp-content/uploads 中执行PHP文件，使用服务器规则（如下示例）。.
5. 旋转盐和密钥
   使用强大且唯一的盐，并在修复后轮换它们以使现有会话失效。.
6. 备份和测试
   定期维护离线备份并定期测试恢复。.
7. 代码审查和分阶段升级
   在部署之前审查第三方主题/插件，或在验证之前限制其使用。.

实用的WAF规则和服务器级缓解措施

当官方补丁不可用时，Web服务器级别的阻止（虚拟修补）可以争取时间。在生产环境中应用之前，在暂存系统上测试规则。.

重要的检测和阻止模式：

• 任何包含 php://filter
• 多个参数的 ../ 序列
• 空字节尝试（%00)
• 尝试包含的请求 wp-config.php, .env, /etc/passwd

示例 ModSecurity/CRS 风格规则：

# Block common LFI attack signatures
SecRule REQUEST_URI|ARGS|ARGS_NAMES|REQUEST_HEADERS "@rx (?i)((\.\./)|(\.\.\\)|php://filter|php%3A%2F%2Ffilter|%00|/etc/passwd|wp-config.php)" \
    "id:1009001,phase:1,deny,status:403,log,msg:'Potential LFI attempt blocked',severity:2,tag:'LFI',tag:'OWASP_TOP_10_A03'"

Nginx 规则示例：

if ($request_uri ~* "(php://filter|%00|\.\./){1,}") {
    return 403;
}

Apache .htaccess 阻止上传中 PHP 执行的代码片段：

# 保护上传 - 防止 PHP 执行

小心应用此类规则——过于宽泛的规则可能会破坏合法功能。优先考虑暂存/测试和增量部署。.

示例检测正则表达式和日志分析提示

使用这些模式进行自动化日志扫描（不区分大小写）：

(?i)(php%3A%2F%2Ffilter|php://filter|(\.\./){2,}|(\.\.\\){2,}|%00|wp-config\.php|/etc/passwd)

对日志条目发出警报，例如：

• GET /wp-content/themes/learnify/… ?…=php://filter/convert.base64-encode/resource=../../../../wp-config.php
• 任何使用 php:// 包装器的请求
• 在正常的 HTML 页面中返回 base64 编码内容的响应

每天扫描这些签名的日志，并在匹配发生时通知管理员。.

安全测试以检查漏洞（仅限网站所有者）

仅对您拥有或运营的网站执行这些检查。请勿测试第三方网站。.

1. 使用非破坏性 php://filter 针对已知的无害文件的请求（例如主题 读我).
2. 示例请求：

GET /wp-content/themes/learnify/index.php?tpl=php://filter/convert.base64-encode/resource=inc/readme.html

如果响应包含解码为文件内容的 base64 字符串，则包含功能存在漏洞。停止测试并立即进行缓解。.

修复决策树

根据官方补丁的可用性选择适当的路径：

• 如果存在已修补版本： 立即更新，然后验证完整性（文件扫描，密码轮换）。.
• 如果没有补丁： 从活动使用中移除主题，应用服务器级规则以阻止利用，并考虑用维护的替代主题替换该主题。.
• 如果无法移除主题： 强制严格的访问控制（IP 白名单），应用严格的服务器规则，并增加监控和频繁的完整性检查。.

修复后：验证和监控

应用修复后：

1. 重新运行自动化漏洞和恶意软件扫描器。.
2. 验证是否存在意外的管理员账户或计划任务。.
3. 检查是否有意外的出站网络活动。.
4. 确保备份是干净且最近的。.
5. 在修复后至少保持30天的高度监控。.

常见问题解答（FAQ）

问：LFI会导致远程代码执行吗？

答：LFI主要是一种文件读取/包含漏洞。如果攻击者能够包含他们控制的文件（例如，上传的PHP文件）或将LFI与其他不安全的配置（可写目录，危险的包装器）链接，则可能发生RCE。.

问：我使用的是Learnify的子主题——我会受到影响吗？

答：可能会。子主题继承父主题代码。如果Learnify父主题中存在漏洞逻辑，并且该父主题版本≤ 1.15.0，则您可能会受到影响。检查父主题版本并采取相应措施。.

问：我修补了主题——我还需要更换凭据吗？

答：是的。修补可以防止新的利用，但不会消除任何先前的妥协。如果有任何暴露，请更换数据库密码、API密钥和盐。.

问：我如何能被通知类似的漏洞？

答：订阅信誉良好的安全公告和邮件列表，为已安装的主题/插件启用自动漏洞警报，并保持日志记录和监控处于活动状态。.

从香港安全角度的最终思考

这份Learnify LFI披露突显了一个反复出现的现实：第三方主题和插件可能引入关键弱点。在香港快速变化的数字环境中，优先事项是速度和彻底性——迅速采取行动以控制暴露，并全面调查以确定凭据或系统是否被访问。.

实际优先事项：快速移除或隔离脆弱组件，应用服务器级缓解措施，验证完整性，更换秘密，并保持监控。如果您管理多个网站，请将此披露视为清点主题版本并强制执行升级或替换计划的提示。.

对于没有内部安全能力的组织，请聘请合格的安全顾问或您的托管支持团队协助控制、取证和修复。.

附录A：快速检查清单（复制/粘贴）

• [ ] 确定是否安装了Learnify ≤ 1.15.0。.
• [ ] 切换到不同的主题或停用 Learnify。.
• [ ] 应用服务器规则以阻止 php://filter 和路径遍历尝试。.
• [ ] 扫描 webshell 和未经授权的文件修改。.
• [ ] 轮换数据库凭据和 WordPress 盐值。.
• [ ] 如果检测到安全漏洞，从干净的备份恢复。.
• [ ] 实施文件权限强化。.
• [ ] 启用文件完整性监控和警报。.
• [ ] 在修复后监控日志 30 天。.

附录 B：其他资源和参考

• CVE-2025-60085 通告
• PHP 强化最佳实践（open_basedir，禁用危险函数）
• WordPress 安全手册和管理指南
• WAF 调优和规则测试指南（在生产前在预发布环境测试）

重要： 上述操作具有操作敏感性。如果您怀疑被攻击且缺乏遵循事件应对手册的技能，请寻求可信赖的专业安全响应者或您的托管服务提供商的帮助。.