TL;DR

一个高严重性的本地文件包含 (LFI) 漏洞 (CVE-2025-69397, CVSS 8.1) 影响 Tint WordPress 主题版本至 1.7。该问题可被未经身份验证的攻击者利用，并可能泄露敏感文件（例如，wp-config.php），并且——当与其他技术（如日志污染）结合时——可能导致远程代码执行。撰写本文时没有公开的官方补丁可用。如果您运行 Tint (≤1.7)，请将此视为紧急事件：立即采取缓解措施，通过您的 WAF 启用虚拟补丁，并遵循以下恢复指导。.

本公告由香港的安全专业人士准备，旨在帮助网站所有者、开发者和主机识别风险、阻止利用并安全恢复。.

这很重要的原因

本地文件包含允许攻击者导致应用程序从服务器文件系统中包含文件。最常见的直接影响是泄露包含凭据和秘密的配置文件（数据库密码、盐值、API 密钥）。在 WordPress 环境中，泄露 wp-config.php 或其他敏感文件可能导致完全接管网站或在结合其他因素（可写日志、弱文件权限、上传/执行路径）时升级到远程代码执行。.

• 影响：Tint 主题版本 ≤ 1.7
• 漏洞类型：本地文件包含 (LFI)
• CVE：CVE-2025-69397
• CVSS：8.1（高）
• 所需权限：无（未经身份验证）
• 官方修复：在发布时没有公开可用的修复

LFI 漏洞通常是如何工作的（简要技术介绍）

当应用程序代码使用用户控制的输入构造文件路径而没有严格验证或白名单时，就会出现 LFI，然后打开或包含该路径。例如：

<?php

如果 $page 不受控制，攻击者可以提供路径遍历序列 (../) 来逃离预期目录并包含任意文件：

• /wp-content/themes/tint/?page=../../../../wp-config
• /wp-content/themes/tint/?file=../../../.env

即使是非 PHP 文件也可以泄露凭据，如果其内容被回显。攻击者还可以使用流包装器 (php://filter) 来读取源代码或将 LFI 与日志污染结合以实现代码执行。.

需要注意的常见有效载荷：

• ../../../../wp-config.php
• php://filter/convert.base64-encode/resource=…
• expect://, data://, zip://（依赖于服务器配置）

现实攻击场景

1. 文件泄露：攻击者使用路径遍历包含 wp-config.php 并提取数据库凭据。.
2. 日志注入 → RCE: 通过 LFI 包含写入日志文件的恶意负载，执行代码。.
3. 敏感文件暴露: .env、备份或其他配置文件被暴露。.
4. 横向移动: 攻击者使用凭据创建管理员用户、安装后门或窃取数据。.

即使漏洞最初似乎仅泄露数据，也应将其视为立即威胁，因为存在链式风险。.

尝试利用的指标（查找内容）

检查访问和错误日志以寻找探测或利用的迹象：

• Requests containing many ../ sequences (URL-encoded or plain): ..%2f, ..%2f..%2f
• 包含 php://filter、data:、expect:、zip:、phar:// 的请求
• 引用 wp-config.php、.env、.git、composer.json、备份文件（.bak、.old、.sql）的请求
• 向主题路径发送的请求，带有查询参数如 ?page=、?file=、?template=、?tpl=、?inc=
• 长的 base64 编码字符串或典型的日志污染负载模式
• 对于不应可访问的文件，意外的 200 响应
• 新的管理员用户、对 wp_options 的更改或意外的插件/主题文件

如果发现可疑条目，请立即保存日志（下载并归档）并进行隔离。.

立即缓解检查清单（现在优先考虑这些）

如果您运营一个运行易受攻击的 Tint 版本的网站，请立即执行以下步骤。这些步骤的顺序旨在快速降低风险。.

1. 备份 — 在进行更改之前，进行完整的离线备份（文件 + 数据库）。这保留了证据和恢复点。.
2. 暂时切换活动主题 — 如果可能，切换到默认的、可信的 WordPress 主题，直到问题解决。.
3. 禁用或移除 Tint 主题 — 如果不需要 Tint，请从 webroot 中移除主题文件夹。如果必须暂时保留，请限制对主题目录的访问。.
4. 通过您的 WAF 应用虚拟补丁 — 在您的边缘或 Web 服务器 WAF 上启用路径遍历和 LFI 保护。阻止包含编码/解码的 ../ 序列和流包装器的请求，并阻止尝试获取敏感文件名。.
5. 限制对敏感文件的 Web 访问 — 使用 Web 服务器规则（Apache/Nginx）拒绝访问 wp-config.php、.env、.git 和常见备份文件名。.
6. 加固文件权限 — 将 wp-config.php 设置为限制性权限（例如，尽可能设置为 440 或 400）。将文件保持在 644，将目录保持在 755；限制写入权限。.
7. 禁用 WordPress 中的文件编辑 — 添加到 wp-config.php：

   define( 'DISALLOW_FILE_EDIT', true );

   注意：DISALLOW_FILE_MODS 将阻止插件/主题的安装和更新；使用时请注意。.

8. 更换凭据 — 如果您怀疑泄露，请更换数据库凭据、WordPress 盐值、API 密钥和任何可能已暴露的令牌。.
9. 扫描是否存在被攻陷的迹象 — 进行彻底的恶意软件扫描，并检查上传中的新 PHP 文件、修改的时间戳或混淆代码（eval, base64_decode）。.
10. 监控日志 — 保留并监控访问/错误日志。如果需要，暂时增加日志记录并关注重复尝试。.

如果您管理多个站点，请在整个网络中应用 WAF 规则，以减少扫描和利用，同时进行站点级修复。.

分层事件控制（推荐方法）

分层响应以降低即时风险和后续影响：

• 虚拟补丁： 在边缘或 Web 服务器上部署精确的 WAF 规则，以阻止已知的利用模式，而不触及应用程序代码。.
• 恶意软件检测： 运行文件审计以识别妥协指标和可疑文件。.
• 文件完整性监控： 对匹配 Webshell 或混淆代码模式的新文件或修改文件发出警报。.
• Web服务器级别的访问控制： 对关键文件强制拒绝规则，并防止在上传目录中执行PHP。.
• 取证和日志记录： 保留日志和文件系统快照以供调查和事件后分析。.

示例WAF规则和正则表达式（供安全工程师使用）

使用以下模式作为指导。根据您的WAF平台（mod_security、Cloud WAF、nginx等）调整语法。在学习/日志记录期后仅以阻止模式部署和监控，以限制误报。.

1) 阻止常见路径遍历序列（包括URL编码变体）

正则表达式：(\./../|\.\.\\|%2e%2e%2f|%2e%2e%5c)

SecRule REQUEST_URI|ARGS|ARGS_NAMES "@rx (\.\./|\.\.\\|%2e%2e%2f|%2e%2e%5c)" \
  "id:100001,phase:2,t:none,deny,status:403,msg:'Blocked path traversal attempt',log"

2) 阻止php://filter和其他流包装器

正则表达式：(?i)(php://filter|data:|expect://|zip://|phar://|gopher://)

SecRule REQUEST_URI|ARGS|ARGS_NAMES "@rx (?i)(php://filter|data:|expect://|zip://|phar://|gopher://)" \"

3) 阻止获取敏感文件名的尝试

正则表达式：(?i)(wp-config\.php|\.env|\.git|composer\.json|config\.inc\.php|\.htpasswd|backup.*\.sql|dump.*\.sql)

SecRule REQUEST_URI|ARGS|ARGS_NAMES "@rx (?i)(wp-config\.php|\.env|\.git|composer\.json|config\.inc\.php|\.htpasswd|backup.*\.sql|dump.*\.sql)" \"

4) 阻止参数中的PHP代码（启发式）

正则表达式：(?i)(<\?php|\bbase64_decode\(|eval\(|system\(|passthru\(|shell_exec\(|exec\()

SecRule ARGS|REQUEST_BODY "@rx (?i)(<\?php|\bbase64_decode\(|eval\(|system\(|passthru\(|shell_exec\(|exec\()" \"

5) 阻止非常长的参数值

检测异常长的单参数值（例如，> 2000 字符）：

SecRule ARGS_NAMES|ARGS "@gt 2000" "id:100005,phase:2,deny,status:403,msg:'阻止极长参数',log"

注意：

• 在可能的情况下，记录和调整规则以减少误报，然后再进行全面阻止。.
• 涵盖 URL 编码变体和多种 HTTP 方法。.
• 将白名单限制为高度信任的 IP；避免广泛的白名单。.

加固 WordPress 和服务器（长期修复）

立即缓解措施至关重要。为了长期韧性，应用以下控制措施：

1. 保持组件更新 — 主题、插件和核心更新是你的第一道防线。监控供应商建议并及时应用补丁。.
2. 最小权限 — 在专用用户下运行服务；仅给予数据库账户所需的权限。.
3. 限制上传和执行 — 在上传中拒绝 .php 执行，并在服务器级别验证上传文件类型：

   location ~* /wp-content/uploads/.*\.(php|phtml|phps)$ {

4. 禁用不必要的 PHP 包装器 — 如果不需要 phar 或其他包装器，请在 PHP 配置中限制它们。.
5. 安全头和 TLS — 强制使用 HTTPS 并应用 HSTS、X-Frame-Options、X-Content-Type-Options 和合理的内容安全策略。.
6. 分离环境 — 不要在生产环境中暴露暂存或本地环境文件。将备份和转储保存在 webroot 之外。.
7. 安全日志记录 — 确保日志不是全世界可写的，并且是轮换的。在写入日志之前清理用户输入，以减少日志中毒风险。.
8. 不可变部署 — 优先选择从受控工件进行CI/CD部署，而不是在生产环境中进行实时安装/编辑。.

事件响应和恢复（如果您怀疑被攻破）

如果怀疑被利用，请将网站视为已被攻陷，并遵循标准事件响应步骤：

1. 隔离 — 在调查期间将网站下线或在防火墙上阻止外部流量。保留日志和快照。.
2. 保留证据 — 保存完整的文件系统和数据库备份（哈希并安全存储）。不要覆盖日志。.
3. 分类 — 识别被修改的文件、WebShell、混淆的PHP（eval/base64构造）、意外的管理员用户和cron作业。.
4. 清理 — 删除恶意文件，从经过验证的来源恢复核心文件，并考虑从在被攻陷之前的已知良好备份中恢复。.
5. 轮换密钥 — 更改WordPress盐值、数据库密码、API密钥和可能已暴露的其他凭据。.
6. 监控 — 在恢复后增加日志记录和监控；在确认清理时保持虚拟补丁处于活动状态。.
7. 根本原因分析 — 识别被利用的文件/参数并修复代码路径。如果易受攻击的组件是Tint主题且没有补丁，请在发布官方修复之前将其删除或隔离。.

如果您缺乏内部专业知识，请聘请合格的事件响应团队或您托管提供商的安全专家。.

对开发人员和主题作者的建议

1. 避免直接根据未经验证的用户输入包含文件。使用严格的白名单将键映射到文件名。.
2. 规范化和验证路径；使用realpath()并确保解析的路径位于允许的目录内。.
3. 清理和验证所有输入，包括查询参数、头部和POST主体。.
4. 实现安全的模板加载器，仅接受映射到内部模板的已知键：

   <?php

5. 安全记录 — 避免以可执行形式将原始用户输入写入日志，并确保日志无法被Web服务器执行。.
6. 将静态分析、代码审查和安全检查集成到CI管道中；将审计重点放在文件包含点上。.

检测：自动和手动检查

• 自动扫描 — 运行扫描器以检测 LFI 模式和特定主题问题；启用文件完整性监控。.
• 手动代码审查 — 搜索接受来自 $_GET/$_POST/$_REQUEST 的变量的 include/require/file_get_contents/fopen/readfile。.
• 日志审查 — Grep access logs for ..%2f, php://filter, wp-config.php, .env, base64 patterns.
• 外部验证 — 从外部视角在暂存环境中测试控制，以确认 WAF 规则阻止利用模式。不要在生产环境中进行未经授权的测试。.

常见问题

问：如果我在我的实时网站上不使用 Tint 主题，我安全吗？

答：如果未安装或未激活 Tint，您不会受到此特定主题问题的影响。但是，请验证已弃用或未使用的主题是否已从主题目录中删除——许多网站保留旧主题。删除任何未使用的主题和插件。.

问：我可以只阻止所有带有 ../ 的请求吗？

答：阻止 ../ 模式很重要，但攻击者通常使用编码和流包装器。使用包含包装器阻止、敏感文件名阻止和注入 PHP 内容的启发式的分层规则集。.

问：轮换数据库凭据会停止攻击吗？

答：在怀疑泄露后轮换凭据是必要的，但在控制和证据收集后进行轮换。轮换可以防止泄露凭据的进一步滥用，但不会消除攻击者可能安装的任何后门。.

问：官方补丁何时可用？

答：在撰写时，尚未公开发布官方修复。请关注主题作者的官方渠道，并在补丁可用时立即应用。在此之前，请使用此处概述的缓解措施。.

简短事件应急手册（复制/粘贴清单）

1. 备份文件 + 数据库（离线）
2. 启用虚拟补丁规则（WAF 阻止 LFI 语法）
3. 将主题切换为安全默认主题或移除 Tint 主题
4. 限制对 wp-config.php 和其他敏感文件的网络访问
5. 运行全面的恶意软件扫描和文件完整性检查
6. 旋转数据库凭据和WordPress盐值
7. 监控日志以查找新的利用尝试
8. 清理后，如果需要，打补丁并从已知良好的备份中恢复

结论 — 实用总结和下一步

影响Tint主题（≤ 1.7）的本地文件包含问题优先级很高。在确认之前假设最坏情况。立即采取措施：

1. 控制： 启用WAF保护，并考虑将网站下线以进行调查。.
2. 缓解： 部署虚拟补丁，阻止路径遍历、危险包装器和对敏感文件名的访问。.
3. 调查： 保留日志并扫描是否有被攻破的证据。.
4. 恢复： 删除恶意内容，旋转密钥，并根据需要从经过验证的备份中恢复。.

如果您管理多个WordPress网站，请广泛应用保护规则，同时协调更新和修复。如果您需要专业帮助，请联系经验丰富的WordPress事件响应专家或您的托管安全团队。.

保持警惕，避免运行不受信任的代码，并将任何未经身份验证的文件包含问题视为紧急安全事件。.

— 香港安全专家