CVE-2025-0665是一种严重的本地文件包含漏洞,影响了所有WordPress插件Jupiter X Core的版本,包括但不限于4.8.7。这种漏洞通过get_svg()函数使得认证攻击者,拥有Contributor级别及以上访问权限,可以包含并执行服务器上的任意文件,从而实现任意PHP代码的执行。这使得攻击者能够绕过访问控制,获取敏感数据或实现代码执行。
具体来说,当攻击者创建一个允许SVG上传的表单,并上传一个带有恶意内容的SVG文件后,攻击者可以通过在文章中包含该SVG文件来实现远程代码执行。这意味着,仅凭Contributor级别及以上的用户就可以轻松地获得远程代码执行权限。
此漏洞的修复依赖于更新Jupiter X Core插件到最新版本,以修复此问题。开发者强烈建议所有使用Jupiter X Core插件的用户立即更新,以防止被此漏洞利用。
此外,开发者还建议用户在上传任何文件之前进行严格的验证,以防止类似漏洞的发生。同时,用户也应及时安装安全插件和更新主题,以确保网站的安全性。