WordPress_Madara 本地文件包含漏洞复现（CVE-2025-4524）

免责申明：

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

前言：

我们建立了一个更多，更全的知识库。每日追踪最新的安全漏洞并提供批量性检测脚本。

更多详情：

https://pc.fenchuan8.com/#/index?forum=101158&yqm=DGR4X

0x01 产品描述：

        Madara 是一款专为漫画、网络小说创作者设计的顶级WordPress主题，凭借其强大的漫画内容管理系统和高度可定制性，成为搭建在线漫画平台的首选解决方案。该主题由知名开发者​​WPComic​​团队开发，全球超过​​3万+​​漫画网站采用，尤其在日本、东南亚等漫画文化盛行地区广受欢迎。
0x02 漏洞描述：

        适用于 WordPress 的漫画网站主题的 Madara – 响应式和现代 WordPress 主题在包括 2.2.2 在内的所有版本中都容易受到通过“template”参数包含本地文件的影响。这使得未经身份验证的攻击者可