InstaWP Connect <= 0.1.0.85 - 未认证本地 PHP 文件包含 (Unauthenticated Local PHP File Inclusion)

该 LFI 漏洞的潜在影响非常严重。攻击者可以利用此漏洞读取服务器上的任意文件，包括包含敏感信息的文件，例如数据库凭据、API 密钥或源代码。更糟糕的是，如果服务器配置允许，攻击者可能能够执行任意 PHP 代码，从而完全控制受感染的 WordPress 站点。这可能导致数据泄露、网站篡改、恶意软件注入，甚至服务器被完全控制。由于该漏洞无需身份验证，攻击者可以轻易地利用它，造成广泛的破坏。

WordPress websites using the InstaWP Connect plugin, particularly those with default file upload permissions or those running older, unpatched versions of WordPress, are at significant risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable.

• wordpress / composer / npm:

grep -r 'instawp-database-manager' /var/www/html/

• wordpress / composer / npm:

wp plugin list | grep InstaWP Connect

• wordpress / composer / npm:

find /var/www/html/wp-content/plugins/instawp-connect -type f -name '*.php' -print0 | xargs -0 grep 'instawp-database-manager'

1. 2025-04-11Disclosure

   disclosure

1. 已保留2025-03-21
2. 发布日期2025-04-11
3. 修改日期2026-04-08
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将 InstaWP Connect 插件升级到最新版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：限制对 WordPress 插件目录的访问权限，确保服务器配置不允许上传或执行任意 PHP 文件。此外，实施 Web 应用防火墙 (WAF) 可以帮助检测和阻止利用此漏洞的攻击尝试。监控 WordPress 站点日志，查找可疑活动，例如对 'instawp-database-manager' 参数的异常请求。

活跃安装数

40K已知

插件评分

4.5

需要WordPress版本

5.6+

兼容至

6.9.4

需要PHP版本

7.0+