CVE-2026-3585 漏洞总结 漏洞概述 CVE编号: CVE-2026-3585 漏洞名称: The Events Calendar – LFI Author+ 漏洞类型: 认证后本地文件包含 (Authenticated Local File Inclusion) 描述: 该漏洞存在于 The Events Calendar 插件的 CSV 导入路径中。低权限用户(如 Author+ 级别)可以将导入器指向任意本地路径,并强制服务器将其作为 CSV 文件打开。尽管这看起来不像代码执行,但它允许读取敏感服务器文件(如 、 等),导致敏感信息泄露。 影响范围 受影响插件: The Events Calendar 受影响版本: <= 6.15.17 活跃安装量: 700,000+ 发布日期: March 9, 2026 研究人员: Dmitrii Ignatyev 修复方案 (Recommendations for Improved Security) 1. 实施严格的路径策略: 导入器必须强制 CSV 文件路径仅位于批准的目录(通常是上传目录或专用的聚合器导入目录)中。 2. 路径验证: 使用 检查候选路径和基础目录,然后执行前缀检查。任何超出允许基础路径的绝对路径都应在创建导入记录之前被拒绝。 3. 禁止直接文件系统访问: 禁止直接文件系统路径,仅允许通过 WordPress 媒体处理上传。 4. 权限控制: 在授权侧,访问聚合器导入端点应限制为受信任的角色,不应作为授权。 5. 缓解措施**: 如果不需要 CSV 导入,应禁用它。如果怀疑泄露,应轮换密钥(API keys, database credentials)。 POC 代码