HIGHCVE-2025-23422CVSS 7.5

WordPress Store Locator 插件 <= 3.98.10 - 任意文件包含 (Local File Inclusion) 漏洞

Q: 什么是 CVE-2025-23422 — 路径遍历漏洞在 moaluko Store Locator 中的问题？

CVE-2025-23422 描述了 moaluko Store Locator 插件中的路径遍历漏洞，允许攻击者通过构造恶意的 URL 请求来读取服务器上的任意文件。

Q: 我是否受到 CVE-2025-23422 在 moaluko Store Locator 中的影响？

如果您正在使用 moaluko Store Locator 插件的版本低于 3.98.11，则可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-23422 在 moaluko Store Locator 中的问题？

升级到 moaluko Store Locator 插件的 3.98.11 或更高版本以修复此漏洞。

Q: CVE-2025-23422 是否正在被积极利用？

虽然目前尚未公开可用的漏洞利用代码，但由于该漏洞允许本地文件包含，因此存在被利用的风险。

Q: 在哪里可以找到官方 moaluko Store Locator 关于 CVE-2025-23422 的公告？

请访问 moaluko Store Locator 插件的官方网站或 WordPress 插件目录，查找有关此漏洞的公告。

平台

wordpress

组件

store-locator

修复版本

3.98.11

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-23422 描述了 moaluko Store Locator 中的路径遍历漏洞，允许攻击者进行本地文件包含 (LFI)。该漏洞影响 Store Locator 的 0.0.0 至 3.98.10 版本。成功利用此漏洞可能导致攻击者访问服务器上的敏感文件，从而造成严重的安全风险。该漏洞已于 2025 年 1 月 24 日公开。

影响与攻击场景

攻击者可以利用此路径遍历漏洞读取服务器上的任意文件，包括配置文件、源代码和其他敏感数据。攻击者可能通过构造恶意的 URL 请求来触发此漏洞，例如通过包含 ../ 序列来访问父目录中的文件。如果服务器上存在包含敏感信息的配置文件，攻击者可能获取数据库凭据、API 密钥或其他敏感信息。此外，攻击者可能利用此漏洞执行任意代码，例如通过包含 PHP 脚本来执行恶意命令。由于该漏洞允许本地文件包含，因此攻击者可能能够访问整个服务器的文件系统，从而造成广泛的损害。

利用背景

目前尚未公开可用的漏洞利用代码，但由于该漏洞允许本地文件包含，因此存在被利用的风险。该漏洞已添加到 CISA KEV 目录中，表明其具有中等概率被利用。建议密切关注安全社区的动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

WordPress websites utilizing the moaluko Store Locator plugin, particularly those running older versions (0.0.0–3.98.10), are at significant risk. Shared hosting environments where multiple websites share the same server resources are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.

检测步骤翻译中…

• wordpress / plugin:

wp plugin list --status=inactive | grep store-locator

• wordpress / plugin:

wp plugin update --all

• generic web:

curl -I 'https://your-wordpress-site.com/wp-content/plugins/store-locator/../../../../etc/passwd' # Check for file disclosure

• generic web:

 grep -r "../" /var/log/apache2/access.log # Look for path traversal attempts in logs

攻击时间线

2025-01-24Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.17% (38% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件store-locator

供应商moaluko

影响范围修复版本

0 – 3.98.103.98.11

弱点分类 (CWE)

CWE-22

时间线

已保留2025-01-16
发布日期2025-01-24
修改日期2026-04-28
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是立即将 moaluko Store Locator 升级至 3.98.11 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 Store Locator 插件的访问权限，例如将其限制在特定的目录中。实施 Web 应用防火墙 (WAF) 规则，以阻止包含 ../ 序列的请求。审查 Store Locator 插件的配置，确保没有暴露任何敏感信息。监控 Store Locator 插件的日志，以检测任何可疑活动。升级后，请确认漏洞已修复，可以通过尝试访问受保护的文件来验证。

修复方法翻译中…

Actualice el plugin Store Locator a una versión corregida. Consulte las notas de la versión del plugin para obtener instrucciones específicas sobre cómo actualizar y mitigar la vulnerabilidad de inclusión de archivos locales. Asegúrese de realizar una copia de seguridad de su sitio web antes de realizar cualquier actualización.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-23422 — 路径遍历漏洞在 moaluko Store Locator 中的问题？