WordPress Ads-pro 本地文件包含漏洞复现（CVE-2025-4380）

免责申明：

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

前言：

我们建立了一个更多，更全的知识库。每日追踪最新的安全漏洞并提供批量性检测脚本。

更多详情：

25hvv poc实时更新中 

https://pc.fenchuan8.com/#/index?forum=101158&yqm=DGR4X

0x01 产品描述：

​Ads Pro​​ 是一款专为 WordPress 设计的 ​​多用途广告管理插件​​，通过强大的模板系统与自动化控制功能，帮助用户高效管理、销售和展示广告资源。

0x02 漏洞描述：

ads-pro插件在 4.89 及以下版本中存在本地文件包含漏洞，该漏洞通过“bsa_preview_callback”函数的“bsa_template”参数实现。未经身份验证的攻击者可以利用该漏洞在服务器上包含并执行任意文件，从而执行这些文件中的任意 PHP 代码

0x03 影响版本：

Ads Pro 插件<4.89

0x04 搜索语句：

fofa：body="/w