Уязвимость PHP Remote File Inclusion в теме SNS Anton для WordPress позволяет осуществить локальное включение файлов (Local File Inclusion)…
Уязвимость PHP Remote File Inclusion в теме SNS Anton для WordPress позволяет осуществить локальное включение файлов (Local File Inclusion). Эта проблема затрагивает SNS Anton версии до 4.1 включительно. Уязвимость имеет высокий уровень опасности (CVSS 8.1) и может быть использована для включения локальных файлов на целевом сайте и отображения их содержимого. Это потенциально может привести к утечке конфиденциальной информации, такой как учетные данные базы данных, в зависимости от конфигурации системы [1]. Patchstack выпустила виртуальный патч для смягчения этой проблемы путем блокирования атак до тех пор, пока не будет доступен официальный исправление. Рекомендуется немедленно устранить или смягчить эту уязвимость. Транг Нгуен Бао Кхань (VCI - VNPT Cyber Immunity) сообщил об этой уязвимости 29 апреля 2025 года, а раннее предупреждение было отправлено клиентам Patchstack 9 июня 2025 года [1]. Источники: - [1] https://patchstack.com/database/wordpress/theme/snsanton/vulnerability/wordpress-sns-anton-4-1-local-file-inclusion-vulnerability?_s_id=cve
PHP-приложение получает входные данные от вышестоящего компонента, однако не ограничивает или некорректно ограничивает эти данные перед их использованием в функциях «require», «include» или аналогичных.
https://cwe.mitre.org/data/definitions/98.html →Открыть в коллекции CWE →В данном шаблоне злоумышленник способен загружать и выполнять произвольный код, удалённо доступный из приложения. Обычно это достигается через небезопасно настроенную среду выполнения PHP и ненадлежащим образом санированный вызов "include" или "require", который пользователь может затем контролировать, направляя его на любой файл, доступный через веб. Это позволяет злоумышленникам захватывать целевое приложение и принуждать его выполнять их собственные инструкции.
https://capec.mitre.org/data/definitions/193.html →Открыть в коллекции CAPEC →