CWE-98ВариантЧерновик
Некорректное управление именем файла в операторах Include/Require PHP-программы ('Удалённое включение файлов в PHP')
PHP-приложение получает входные данные от вышестоящего компонента, однако не ограничивает или некорректно ограничивает эти данные перед их использованием в функциях «require», «include» или аналогичных.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2025-25174Неправильное управление именами файла для включения/ребования заявления в PHP Program ('P Remote File Inclusion) в beeteam368 расширения Beeteam368 расширений beeteam368 позволяет PHP Local File Inclusion.Эта проблема затрагивает расширения BeeTeam368: от n/a до <= 1.9.4.
CVE-2012-10025Плагин Advanced Custom Fields (ACF) для WordPress версии 3.5.1 и ниже содержит уязвимость RFI, позволяющую неавторизованному злоумышленнику включить и выполнить произвольный удаленный PHP-код через параметр acf_abspath в скрипте export.php. Это возможно только при включенном allow_url_include в PHP (по умолчанию: Off). Уязвимость приводит к выполнению кода на сервере [1].
Источники:
- [1] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/webapp/wp_advanced_custom_fields_exec.rb
- [2] https://www.exploit-db.com/exploits/23856
- [3] http://web.archive.org/web/20121223025326/http://secunia.com:80/advisories/51037
- [4] https://www.tenable.com/plugins/nessus/63326
- [5] https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/advanced-custom-fields/advanced-custom-fields-351-remote-code-execution-via-remote-file-inclusion
CVE-2026-41228Froxlor - это программное обеспечение для администрирования серверов с открытым исходным кодом. До версии 2.3.6 конечная точка `Corxlor API `Customers.update` (и `Admins.update``) не проверяет параметр `def_language` список доступных языковых файлов. Аутентифицированный клиент может установить `def_language` на полезную нагрузку для обхода пути (например, `..../.././var/customers/customer/customer1/evil`), которая хранится в базе данных. По последующим запросам «Язык:loadLanguage()` создает путь файла, используя это значение, и выполняет его через «требуется», достигая произвольного выполнения кода PHP как пользователя веб-сервера. Версия 2.3.6 устраняет проблему.
CVE-2025-31340Уязвимость в функции получения информации о курсе Wisdom Master Pro версий 5.0-5.2 позволяет удаленным злоумышленникам выполнять произвольные системные команды, запуская вредоносный файл [1].
Источники:
- [1] https://zuso.ai/advisory/za-2025-03
CVE-2026-28043Неправильное управление Filename для включения / требования заявления в PHP Program («PHP Remote File Inclusion») уязвимость в ThemeREX Healer - Врач, клиника и медицинский WordPress Цельатель темы позволяет PHP Local File Inclusion.Эта проблема затрагивает Healer - Doctor, Clinic & Medical WordPress Theme: от n/a до <= 1.0.0.
CVE-2026-27065Неправильный контроль имен файлов для Учета УТВМЕНА/Обязательства в PHP (PHP Remote File Inclusion) в ThimPress BuilderPress builderpress позволяет включить локальный файл PHP.Эта проблема затрагивает BuilderPress: от n/a до <= 2.0.1.
CVE-2026-0926Плагин Prodigy Commerce для WordPress уязвим для включения локального файла во всех версиях до 3.3,0 включительно, параметра «parameters[template_name]». Это позволяет неаутентифицированным злоумышленникам включать и считывать произвольные файлы или выполнять произвольные файлы на сервере, позволяя выполнять любой код PHP в этих файлах. Это может быть использовано для обхода элементов управления доступа, получения конфиденциальных данных или достижения выполнения кода в тех случаях, когда изображения и другие «безопасные» типы файлов могут быть загружены и включены.
CVE-2025-7721JoomSport - для спорта: команда и лига, футбол, хоккей и плагин для WordPress уязвим для локального включения файлов во всех версиях до 5.7.3 по параметру задачи. Это позволяет неаутентифицированным злоумышленникам включать и выполнять произвольные файлы .php на сервере, позволяя выполнять любой код PHP в этих файлах. Это может быть использовано для обхода элементов управления доступа, получения конфиденциальных данных или достижения выполнения кода в тех случаях, когда типы файлов .php могут быть загружены и включены.
CVE-2025-7634WP Travel Engine – плагин для бронирования туров – плагин для программного обеспечения для оператора туроператора для WordPress уязвим для локального включения файлов во всех версиях до 6.6.7 по параметру режима. Это позволяет неаутентифицированным злоумышленникам включать и исполнять произвольные файлы .php на сервере, позволяя выполнять любой код PHP в этих файлах. Это может быть использовано для обхода элементов управления доступа, получения конфиденциальных данных или достижения выполнения кода в тех случаях, когда типы файлов .php могут быть загружены и включены.
CVE-2025-65656dcat-admin v2.2.3-beta и раньше уязвим для включения файлов в admin/src/Extend/VersionManager.php.
CVE-2025-63888Функция чтения в файле thinkphp\library\think\template\driver\File.php в ThinkPHP 5.0.24 содержит уязвимость удаленного выполнения кода.
CVE-2025-58935Неправильное управление именами файлов для включения/ребования заявления в PHP Program ('P'Dremote File Inclusion) в axiomthemes Lunna позволяет PHP Local File Inclusion.Эта проблема затрагивает Lunna: от n/a до <= 1.15.
CVE-2025-58206Неправильное управление именем файла для оператора Include/Require в PHP-программе (уязвимость «Удалённое включение PHP-файлов») в ThemeMove. MaxCoach допускает локальное включение PHP-файлов. Эта проблема затрагивает MaxCoach версии от «н/д» до 3.2.5.
CVE-2025-54701Неправильное управление именами файла для включения/требуется заявление в PHP Program ('P Remote File Inclusion) в ThemeMove Unicamp unicamp позволяет включить PHP Local File.Эта проблема затрагивает Unicamp: от n/a до <= 2.6.3.
CVE-2025-54700Неправильное управление Filename для Учета Включить / Требовать Установку в PHP-программе ('P Remote File Inclusion) в ThemeMove Makeaholic makeholic позволяет включить PHP Local File.Эта проблема затрагивает Makeaholic: от n/a до <= 1.8.4.