关键漏洞信息 漏洞概述 CVE编号: CVE-2025-4602 影响版本: eMagicOne Store Manager for WooCommerce <= 1.2.5 漏洞类型: 未授权任意文件读取 (Unauthenticated Arbitrary File Read) 漏洞细节 1. 默认凭据和哈希计算 - 默认用户名: - 默认密码: - 默认哈希值: 2. 会话密钥获取 - 通过向 发送POST请求,携带哈希和任务(如 )来获取会话密钥。 3. 任意文件读取 - 使用有效的会话密钥,攻击者可以通过 任务读取任意文件。例如: 4. 文件删除 - 在 中的 方法可以被利用来删除文件。 漏洞利用步骤 1. 使用默认凭据生成哈希。 2. 通过 获取会话密钥。 3. 使用会话密钥读取或删除任意文件。 影响 攻击者可以读取敏感文件(如 ),获取数据库配置等关键信息。 可能导致进一步的系统渗透和数据泄露。