XStore | 多功能 WooCommerce 主题 <= 9.5.4 - 认证 (订阅者+) 本地文件包含

该LFI漏洞的潜在影响非常严重。攻击者可以利用此漏洞读取服务器上的任意文件，包括包含敏感信息的文件，例如数据库凭证、API密钥或源代码。更严重的是，如果攻击者能够上传并包含.php文件，他们就可以执行任意PHP代码，从而完全控制受影响的WordPress站点。这可能导致数据泄露、网站篡改、恶意软件注入，甚至整个服务器的控制权被夺取。由于攻击者只需要Subscriber级别的权限即可利用此漏洞，因此攻击面非常广泛。

Websites using the XStore WordPress theme, particularly those with file upload functionality enabled, are at risk. Shared hosting environments where users have limited control over server configurations are also particularly vulnerable, as they may be unaware of the outdated theme version or lack the ability to perform updates.

• wordpress / composer / npm:

grep -r 'et_ajax_required_plugins_popup()' /var/www/html/wp-content/themes/xstore/

• wordpress / composer / npm:

wp plugin list | grep xstore

• wordpress / composer / npm:

find /var/www/html/wp-content/uploads/ -name '*.php' -type f

1. 2025-10-15Disclosure

   disclosure

1. 已保留2025-10-14
2. 发布日期2025-10-15
3. 修改日期2026-04-08
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将XStore WordPress主题升级至9.5.5或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：首先，限制对etajaxrequiredpluginspopup()函数的访问，只允许受信任的用户访问。其次，确保服务器配置正确，防止上传任意.php文件。第三，实施严格的文件访问控制，限制Web服务器对敏感文件的访问权限。最后，使用Web应用程序防火墙（WAF）来检测和阻止恶意请求。升级后，请验证漏洞是否已成功修复，例如通过尝试触发LFI漏洞并确认其已被阻止。