漏洞描述
HUSKY的WooCommerce插件WordPress产品过滤器专业版存在本地文件包含漏洞,该漏洞存在于所有版本,包括最高版本1.3.6.5,其影响途径是woof_text_search AJAX操作的'template'参数。这使得未经身份验证的攻击者能够在服务器上包含并执行任意文件,允许执行这些文件中的任何PHP代码。这可以用于绕过访问控制,获取敏感数据,或者在上传和包含图像和其他“安全”文件类型的情况下实现代码执行。
HUSKY-WooCommerce /wp-admin/admin-ajax.php 文件包含漏洞 (CVE-2025-1661)
PoC代码
暂无相关漏洞推荐
- GLPI /index.php/ajax/ SQL 注入漏洞(CVE-2025-24799)
- 用友 U8 CRM /ajax/getsrvtemplate.php/getproductdata SQL 注入漏洞
- 金华迪加 ajax_act_set_bgmusic.php SQL 注入漏洞
- 微信公众平台无限回调系统 /user/ajax.php SQL 注入漏洞
- WordPress WooCommerce Designer Pro 插件 /wp-admin/admin-ajax.php wcdp_save_canvas_design_ajax 文件上传漏洞(CVE-2025-6440)
- WordPress Google for WooCommerce /wp-content/plugins/google-listings-and-ads/vendor/googleads/google-ads-php/scripts/print_php_information.php 信息泄露漏洞(CVE-2024-10486)
- WordPress Events Manager /wp-admin/admin-ajax.php SQL 注入漏洞(CVE-2025-6970)
- 璐华HRM /ajaxpro/RuvarHRM.Web.Common.get_account_by_tree.RuvarHRM.Web.Common.ashx SQL 注入漏洞
- FreePBX /admin/ajax.php brand SQL 注入漏洞(CVE-2025-57819)
- Wordpress Plugin Depicter /wp-admin/admin-ajax.php depicter-lead-list SQL 注入漏洞(CVE-2025-2011)
- Wordpress Plugin Eventin /wp-admin/admin-ajax.php proxy_image 文件读取漏洞(CVE-2025-3419)
- Wordpress Plugin Ultimate Auction Pro /wp-admin/admin-ajax.php uwa_see_more_bids_ajax SQL 注入漏洞 (CVE-2025-4204)
- Wordpress WooCommerce Ultimate Gift Card /wp-admin/admin-ajax.php mwb_wgm_preview_mail 文件上传漏洞(CVE-2024-8425)