CVE-2022-1391 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历导致本地文件包含 (LFI)。 💥 **后果**：攻击者可读取服务器敏感文件，甚至执行恶意代码，彻底沦陷。

🔍 **CWE**：CWE-22 (路径遍历)。 🐛 **缺陷**：`require` 语句前**未验证** `controller` 参数，直接拼接使用。

📦 **组件**：WordPress 插件 **Cab fare calculator**。 📅 **版本**：**1.0.3** 及之前版本。

👁️ **数据**：读取任意本地文件（如 `/etc/passwd`、WP 配置文件）。 💻 **权限**：通过 LFI 可能实现远程代码执行 (RCE)，获取服务器控制权。

🚪 **门槛**：**低**。 🔑 **认证**：通常无需认证即可触发（依赖插件逻辑缺陷）。 ⚙️ **配置**：利用路径遍历构造恶意 URL 即可。

🧪 **Exp**：**有**。 📎 **PoC**：ProjectDiscovery Nuclei 模板已收录，PacketStorm 有相关报告。

🔎 **自查**：扫描请求中 `controller` 参数是否包含 `../` 序列。 📡 **工具**：使用 Nuclei 模板 `http/cves/2022/CVE-2022-1391.yaml` 快速检测。

🛡️ **补丁**：**已修复**。 ✅ **版本**：升级至 **1.0.4** 或更高版本即可解决。

🚧 **临时规避**：若无法升级，**禁用**该插件。 🚫 **限制**：在 `.htaccess` 或 WAF 中拦截包含 `../` 的 `controller` 参数请求。

⚡ **优先级**：**高**。 🔥 **建议**：LFI 风险极大，建议**立即**升级插件或停用，防止服务器被控。