WordPress的Jupiter X Core插件存在嚴重安全漏洞，使得超過9萬個網站面臨本地文件包含（LFI）和遠程代碼執行（RCE）攻擊的風險。

該漏洞被追蹤為CVE-2025-0366，CVSS評分為8.8（高危），允許具有貢獻者權限的攻擊者上傳惡意的SVG文件并在受影響的服務器上執行任意代碼。

該漏洞利用了Jupiter X Core（一款與高級Jupiter X主題配套的插件）中的兩個連鎖弱點。

SVG文件上傳不受限制

插件的upload_files()函數（屬于Ajax_Handler類）允許貢獻者上傳SVG文件，但未對文件內容進行適當驗證。

雖然文件名通過PHP的uniqid()函數進行了隨機化處理，但由于依賴于服務器微時間戳，如果攻擊者知道上傳時間，就能預測文件名。此漏洞使得包含嵌入式PHP代碼的惡意SVG文件得以上傳，例如：

通過get_svg()實現本地文件包含

插件Utils類中的get_svg()方法未對用戶輸入進行適當過濾，導致路徑遍歷漏洞。攻擊者可以通過操縱$file_name參數包含任意文件：

通過上傳惡意SVG文件并強制通過精心構造的請求使其被包含，攻擊者能夠實現遠程代碼執行（RCE）。值得注意的是，研究人員stealth copter通過Wordfence的漏洞賞金計劃發現了此漏洞，并獲得了782美元的獎勵。

該漏洞的嚴重性在于其利用門檻較低：

• 權限提升：通常權限較低的貢獻者用戶可能獲得服務器的完全控制權。
• 數據泄露：攻擊者可以訪問敏感文件，如_wp-config.php_或數據庫憑據。
• 持久化：通過植入Webshell，攻擊者可以實現長期訪問。

緩解措施與補丁

插件開發商Artbees已于2025年1月29日發布了修復版本（4.8.8），主要修復內容包括：

• 嚴格的文件驗證：限制SVG文件的上傳權限僅授予可信用戶，并清理文件內容。
• 路徑清理：在get_svg()中實現realpath檢查，防止目錄遍歷攻擊。

因此，建議用戶更新至Jupiter X Core 4.8.8及以上版本，審核用戶角色以盡量減少貢獻者賬戶，并配置支持LFI/RCE規則集的Web應用防火墻（WAF）。

此外，還應檢查自定義主題/插件是否存在類似的文件處理漏洞，特別是在SVG/XML解析器中。鑒于WordPress驅動了全球43%的網站，主動的漏洞管理仍至關重要。管理員應優先使用自動化掃描工具，并訂閱威脅情報源（如Wordfence Intelligence）以獲取實時警報。