Local File Inclusion in “Extensive VC Addons for WPBakery page builder” (<= 1.9.1) — 网站所有者现在必须采取的措施

作者：香港安全专家 — 日期：2026-02-10

On 10 February 2026 a serious vulnerability (CVE-2025-14475) was published affecting the “Extensive VC Addons for WPBakery page builder” WordPress plugin in versions up to and including 1.9.1. The issue is an unauthenticated Local File Inclusion (LFI), rated high severity (CVSS 8.1). Because this can be exploited remotely without authentication in many configurations, site owners running this plugin must take immediate action to protect their websites and visitors.

本文由一位驻港安全从业者撰写，清楚地解释了风险是什么，攻击者可能如何尝试利用它，如何检测尝试或妥协，以及在您应用长期修复时保持网站安全的紧急缓解措施。故意省略了利用有效载荷和逐步攻击指令。.

执行摘要

• Vulnerability: Unauthenticated Local File Inclusion (LFI) via the plugin’s parameter handling (commonly reported as the 短代码名称 参数）。.
• 受影响的版本：WPBakery 页面构建器的广泛 VC 插件 ≤ 1.9.1。.
• CVE：CVE-2025-14475
• 严重性：高（CVSS 8.1）
• 风险：本地服务器文件的暴露（包括 wp-config.php）、凭据泄露、在某些服务器设置中可能升级为远程代码执行 (RCE)，以及完全接管网站。.
• 立即优先事项：清点受影响的网站，尽可能禁用或删除插件，应用有针对性的阻止（例如，WAF 规则），如果怀疑被妥协则轮换密钥，并监控日志以获取妥协指标。.

什么是本地文件包含（LFI）及其重要性

本地文件包含 (LFI) 是一种注入漏洞，允许攻击者强制 Web 应用程序读取并有时执行本地文件系统中的文件。危害结果包括：

• 敏感文件的泄露，例如 wp-config.php, .env, 、私钥或包含凭据的日志。.
• 与其他弱点（不安全的上传、反序列化缺陷）链式结合以实现代码执行。.
• 利用被妥协的主机转向内部网络或其他托管服务。.

未经身份验证的 LFI 特别危险：任何互联网用户都可以触发它，并且可以非常快速地暴露敏感数据。.

这个插件漏洞是如何工作的（高层次）

报告的问题源于插件在文件包含操作中使用了一个参数（公开披露为 短代码名称）而没有进行充分的验证。安全代码绝不会直接根据未清理的用户输入包含文件；相反，它应该将允许的键映射到安全的文件路径。当缺少输入验证时，攻击者可以构造请求以读取本地文件。.

防御者的关键点：

• 该漏洞是未经身份验证的，可能会被远程触发。.
• 攻击者可能使插件读取可被PHP进程访问的任意文件。.
• 实际影响取决于文件权限、服务器配置以及其他已安装的软件或插件。.

哪些网站受到影响？

• Any WordPress installation with the “Extensive VC Addons for WPBakery page builder” plugin installed and running version 1.9.1 or earlier.
• 如果插件被停用或删除，直接风险会降低——但请确认没有副本、备份或自定义集成保留了易受攻击的代码路径。.
• 在某些WordPress配置中，磁盘上留下的插件文件可能会被间接调用；最佳实践是如果不需要，完全删除易受攻击的插件。.

攻击者可能如何利用这一点（概述）

攻击者通常会扫描使用该插件的网站，并发送包含控制文件包含的参数的HTTP请求。如果插件处理一个 短代码名称 未经过清理的参数，攻击者可能会使用目录遍历或尝试引用敏感文件。.

Because the vulnerability requires no authentication, automated scanning and exploitation attempts are likely to increase after public disclosure. The speed of successful exploitation depends on the site’s configuration and how the plugin handles paths.

立即缓解 — 现在该做什么

立即执行这些步骤，按风险和操作影响优先排序。.

1. 审计和清点

• 确定每个使用该插件的网站。在磁盘上搜索插件文件夹（例如，, wp-content/plugins/extensive-vc-addon）或使用您的网站管理工具。.
• 如果您管理多个网站，请自动化清点以避免遗漏实例。.

禁用或移除插件（最高优先级）

• 如果可行，立即停用插件。如果插件不是必需的，从文件系统中删除它。.
• 如果将插件下线会破坏关键功能，请遵循第3步，并加固暴露的接口，直到您可以移除或修补它。.

应用有针对性的阻止/虚拟修补

• 如果您无法立即移除插件，请在应用层实施有针对性的阻止规则，以阻止操纵易受攻击参数的利用尝试。.
• 阻止包含目录遍历序列的请求，引用 wp-config.php 或 .env, 或与插件相关的参数中可疑的编码有效负载。.

加固文件访问

• 防止在 wp-content/uploads 和其他可写目录下执行PHP。.
• 设置限制性文件权限，以便PHP进程仅具有所需的最低读/写访问权限。.

监控日志并扫描是否被攻破

• 检查Web服务器和应用程序日志中包含插件参数的可疑请求（见下文检测尝试）。.
• 运行全面的恶意软件扫描和文件完整性检查，以检测Webshell或意外更改。.

如果怀疑被攻破，请轮换密钥

• 如果您发现文件泄露的证据（例如，内容 wp-config.php），请立即轮换数据库凭据、WordPress盐值、任何API密钥，并重置管理员密码。.

当可用时应用供应商补丁

• 当插件作者发布经过验证的补丁时，请在测试环境中测试并及时部署到生产环境。.
• 在应用补丁之前，保持缓解措施（阻止规则、监控）到位。.

检测尝试和妥协指标

监控和检测对于阻止利用尝试和识别成功的妥协至关重要。.

查找位置

• Web服务器访问日志（Apache，Nginx）— 搜索可疑的查询字符串和异常响应。.
• 应用程序日志（WordPress调试日志）— 包含尝试可能会产生警告、错误或意外输出。.
• 文件系统 — 可写目录下新添加的PHP文件、修改的主题或插件文件，以及未知的计划任务都是红旗。.

搜索模式和示例

查找引用的请求 短代码名称, ，目录遍历序列，或尝试读取常见配置文件。示例搜索（在您的日志分析工具中使用它们）：

grep -i "shortcode_name" /var/log/nginx/access.log*

awk '{print $7}' /var/log/apache2/access.log | grep -iE "%2e%2e|../|wp-config.php|.env"

还要搜索：

• 目录遍历模式： ../ 或URL编码的等效项（%2e%2e%2f).
• 包含文件名的请求，如 wp-config.php 或 .env.
• 意外的大响应或包含原始文件内容的响应。.

文件扫描指标

• 新的 PHP 文件在 wp-content/uploads 或其他可写位置。.
• 未知的管理员用户或修改的用户角色。.
• 意外的cron作业或计划任务。.

立即事件响应检查清单

• 隔离网站（维护模式或IP限制）。.
• 保留日志并进行取证备份（磁盘映像，数据库转储）。.
• 轮换数据库凭据、盐值，并重置管理员密码。.
• 完全扫描并清理文件系统；如果确认被攻击，则从已知良好的备份中恢复。.
• 如有需要，与您的托管服务提供商协调进行更深入的取证分析。.

推荐的WAF/防御规则（实用指导）

应用层阻止通常是降低风险的最快方法。以下防御模式仅供配置指导——它们不包含漏洞信息。.

1. 参数阻止：阻止包含 短代码名称 值包含目录遍历（../）、编码遍历、对敏感文件名的引用（wp-config.php, .env）、空字节或PHP文件扩展名的请求。.
2. 白名单方法：如果短代码参数只应接受一小组值，则实施仅允许这些已知值的白名单。.
3. HTTP方法限制：如果适用，限制插件端点允许的方法。.
4. 对可疑请求进行速率限制，并在可用时应用IP声誉控制。.
5. 虚拟补丁：针对存在的 短代码名称 结合遍历模式或对敏感文件的引用进行阻止。.

示例概念规则逻辑（根据您的WAF语法进行调整）：

IF request contains parameter "shortcode_name" AND parameter value matches regex "(\.\./|%2e%2e|wp-config\.php|\.env|%00|\.php)" THEN block

始终先在检测模式下测试规则以减少误报，并在可能的情况下使用暂存环境进行调整。.

说明性mod_security风格规则（概念）

以下是ModSecurity风格WAF的说明性防御签名。使用前请调整和测试。.

# Block suspicious shortcode_name usage that may indicate LFI attempts
SecRule REQUEST_URI|ARGS_NAMES|ARGS "shortcode_name" "phase:2,chain,deny,status:403,msg:'Blocked suspicious shortcode_name LFI attempt'"
    SecRule ARGS:shortcode_name "@rx (\.\./|%2e%2e|wp-config\.php|\.env|%00|\.php)" "t:none,t:urlDecode,t:lowercase"

注意：最初使用检测模式，并针对您的合法流量进行验证，以避免阻止有效请求。.

修补和长期补救

• 一旦开发者发布经过验证的补丁，请尽快应用官方插件更新。在生产部署之前在暂存环境中进行测试。.
• 如果尚未提供补丁，请保留虚拟补丁，并考虑在安全更新发布之前移除该插件。.
• 如果插件未维护或供应商响应不足，请用遵循安全编码实践的维护替代品替换它。.

如果您遭到攻击：事件响应扩展

确认妥协迹象（文件泄露、修改的文件、未知的管理员账户、不寻常的出站连接），并遵循遏制/根除步骤：

1. 隔离主机并保留取证证据（日志、文件哈希、数据库转储）。.
2. 如果可能，从已知良好的备份中恢复。.
3. 更换数据库、管理员账户和第三方服务的凭据和密钥。.
4. 从可信来源重新安装 WordPress 核心、主题和插件。.
5. 加固环境：限制文件权限，禁用上传目录中的 PHP 执行，移除未使用的插件和主题。.
6. 至少监控 90 天以防止再感染；攻击者通常会留下二次访问机制。.

对于严重事件，请考虑寻求专业取证协助，以确保完整的调查和补救。.

开发者指导（如何修复此类漏洞）

开发者应遵循安全编码模式以防止 LFI：

• 永远不要使用 包含/要求 原始用户输入。将用户提供的键映射到预定义的文件路径白名单。.
• 使用 realpath 并验证解析的路径是否在预期目录内。.
• 拒绝任何包含目录遍历的输入（..) 或 NUL 字节。.
• 实施单元测试和模糊测试以处理输入，并在发布过程中包括安全代码审查。.

一般的 WordPress 加固提示（超出即时缓解）

• 保持 WordPress 核心、主题和插件的最新。.
• 最小化已安装的插件并删除未使用的插件。.
• 对数据库和系统账户使用最小权限原则。.
• 禁用仪表板中的文件编辑（define('DISALLOW_FILE_EDIT', true);).
• 安装文件完整性监控以检测意外更改。.
• 通过服务器规则禁用上传目录中的 PHP 执行。.
• 使用强大、唯一的密码，并为管理员账户启用双因素认证。.
• 保持离线备份并定期测试恢复程序。.

如果您需要帮助

如果您需要立即控制、日志分析或修复的帮助，请联系可信的安全顾问或事件响应提供商。优先选择在 WordPress 事件响应和取证调查方面有经验的提供商。确保任何外部方遵循保密和证据保存的最佳实践。.

常见问题

问：我的网站使用受影响的插件，但一切看起来正常。我还需要采取行动吗？
答：是的。未经身份验证的 LFI 可以在没有明显迹象的情况下被触发。如果插件版本为 ≤ 1.9.1，请遵循缓解步骤：如果可能，禁用或删除插件，应用有针对性的阻止，并监控日志。.

Q: WAF能完全保护我吗？
答：适当调优的应用层防火墙可以显著降低风险并阻止许多利用尝试，但它不能替代供应商提供的补丁。将 WAF 保护视为临时缓解，直到您能够应用官方修复并进行全面的安全审查。.

Q: What if I can’t take the plugin offline because it breaks the site?
答：实施有针对性的阻止规则以限制可疑参数值，应用 IP 限流，并在可能的情况下限制对受影响端点的访问。计划在操作上可行时尽快进行移除或替换。.

结束

此 LFI 是一种高严重性漏洞，危及托管网站的机密性和完整性。如果您运行受影响的插件版本（≤ 1.9.1），请立即采取行动：识别受影响的网站，尽可能移除或禁用插件，应用有针对性的阻止和监控，如果怀疑泄露则轮换密钥，并在补丁可用时应用供应商补丁。及时的缓解措施通常可以防止事件演变为代价高昂的泄露。.

— 香港安全专家