WordPress Classic Addons – WPBakery Page Builder 插件 <= 3.0 - 存在本地文件包含 (Local File Inclusion) 漏洞

此漏洞允许攻击者通过构造恶意请求，访问服务器上的任意文件，包括敏感配置信息、源代码或其他用户数据。攻击者可以利用此漏洞读取服务器上的任何文件，从而可能导致信息泄露、代码执行甚至完全控制服务器。由于该漏洞允许本地文件包含，攻击者可能能够执行任意 PHP 代码，进一步扩大攻击范围。如果服务器上存在其他易受攻击的应用或服务，攻击者可能利用此漏洞进行横向移动。

WordPress websites utilizing the Classic Addons – WPBakery Page Builder plugin, particularly those running versions 3.0 or earlier, are at significant risk. Shared hosting environments are especially vulnerable, as they often have limited control over server configurations and plugin security. Websites with weak file access permissions are also more susceptible to exploitation.

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/classic-addons-wpbakery-page-builder/*

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/classic-addons-wpbakery-page-builder/../../../../etc/passwd

1. 2025-01-07Disclosure

   disclosure

1. 已保留2024-12-18
2. 发布日期2025-01-07
3. EPSS 更新日期2026-04-02

最有效的缓解措施是立即将 Classic Addons – WPBakery Page Builder 升级至 3.0.1 版本。如果升级不可行，可以考虑以下临时缓解措施：限制 Classic Addons – WPBakery Page Builder 插件的访问权限，只允许其访问必要的文件和目录。实施 Web 应用防火墙 (WAF) 规则，以阻止包含恶意路径的请求。审查 Classic Addons – WPBakery Page Builder 插件的配置，确保没有不必要的权限或设置。升级后，请确认漏洞已修复，可以通过尝试访问受影响的文件来验证。

活跃安装数

3K小众

插件评分

5.0

需要WordPress版本

3.5+

兼容至

7.0