漏洞信息
# Kubio AI 页面构建器 <= 2.5.1 - 未授权本地文件包含
## 概述
Kubio AI Page Builder 插件存在局部文件包含(LFI)漏洞,这允许未认证的攻击者在服务器上包含和执行任意文件,从而可能导致获取敏感数据或实现代码执行。
## 影响版本
所有版本,包括 2.5.1 及之前的版本。
## 细节
漏洞源于 `thekubio_hybrid_theme_load_template` 函数,未认证的攻击者可以利用此漏洞包含并执行任意文件,进而执行文件中的 PHP 代码。
## 影响
攻击者可以利用此漏洞绕过访问控制,获取敏感数据或实现代码执行。特别是在上传和包含图片或其他被认为“安全”的文件类型情况下,风险更为严重。
备注
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Kubio AI Page Builder <= 2.5.1 - Unauthenticated Local File Inclusion
漏洞描述信息
The Kubio AI Page Builder plugin for WordPress is vulnerable to Local File Inclusion in all versions up to, and including, 2.5.1 via thekubio_hybrid_theme_load_template function. This makes it possible for unauthenticated attackers to include and execute arbitrary files on the server, allowing the execution of any PHP code in those files. This can be used to bypass access controls, obtain sensitive data, or achieve code execution in cases where images and other “safe” file types can be uploaded and included.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
对路径名的限制不恰当(路径遍历)
漏洞标题
WordPress plugin Kubio AI Page Builder 路径遍历漏洞
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Kubio AI Page Builder 2.5.1及之前版本存在路径遍历漏洞,该漏洞源于kubio_hybrid_theme_load_template函数存在本地文件包含,可能导致未认证攻击者包含和执行任意文件。
CVSS信息
N/A
漏洞类别
路径遍历