淡江大學土木工程學系 WordPress 目錄瀏覽啟用及網站遭植入博弈 SEO 垃圾內容 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2026-00496
  •  發信 Vendor: 淡江大學土木工程學系
  • Title: 淡江大學土木工程學系 WordPress 目錄瀏覽啟用及網站遭植入博弈 SEO 垃圾內容
  • Introduction: 網站 WordPress 之 wp-includes 目錄啟用目錄瀏覽功能,暴露 PHP 錯誤日誌及伺服器內部路徑,且網站首頁遭大量植入印尼博弈 SEO 垃圾關鍵字,顯示網站可能已遭入侵

處理狀態

目前狀態

公開
Last Update : 2026/04/19
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2026/04/03 01:22:27 : 新提交 (由 Ianon 更新此狀態)
  • 2026/04/07 22:45:47 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/09 18:37:20 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/09 18:37:20 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/09 18:37:20 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/14 17:12:01 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2026/04/15 18:17:22 : 確認已修補 (由 Ianon 更新此狀態)
  • 2026/04/19 03:00:20 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2026-00496
  • 通報者:Ianon (Ianon)
  • 風險:高
  • 類型:資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.ce.tku.edu.tw/wp-includes/
https://www.ce.tku.edu.tw/wp-includes/error_log
https://www.ce.tku.edu.tw/
https://www.ce.tku.edu.tw/wp-includes/wlwmanifest.xml
https://www.ce.tku.edu.tw/wp-json/

敘述

漏洞描述
https://www.ce.tku.edu.tw/wp-includes/ 發現 Web 伺服器啟用了目錄瀏覽 (Directory Listing) 功能,導致 WordPress 核心目錄之完整檔案列表可被外部直接存取。此外,網站首頁遭大量植入博弈關鍵字垃圾內容,顯示網站可能已遭入侵。

重現步驟

  1. 目錄瀏覽暴露
    • 開啟瀏覽器造訪 https://www.ce.tku.edu.tw/wp-includes/
    • 可見完整 WordPress 核心檔案列表,包含:
    • 所有 PHP 核心檔案(如 functions.php、class-wp.php、wp-db.php 等)
    • 子目錄:ID3/、PHPMailer/、Requests/、SimplePie/、customize/、rest-api/、sitemaps/、sodium_compat/ 等
    • 錯誤日誌檔案 error_log
  2. PHP 錯誤日誌暴露
    • 造訪 https://www.ce.tku.edu.tw/wp-includes/error_log 可見以下內容: 
      [17-Apr-2024 01:02:36 Europe/London] PHP Warning:  Use of undefined constant ABSPATH - assumed 'ABSPATH' (this will throw an Error in a future version of PHP) in /home/pdxebccx/public_html/wp/wp-includes/functions.php on line 8
[17-Apr-2024 01:02:36 Europe/London] PHP Warning:  Use of undefined constant WPINC - assumed 'WPINC' (this will throw an Error in a future version of PHP) in /home/pdxebccx/public_html/wp/wp-includes/functions.php on line 8
[17-Apr-2024 01:02:36 Europe/London] PHP Warning:  require(ABSPATHWPINC/option.php): failed to open stream: No such file or directory in /home/pdxebccx/public_html/wp/wp-includes/functions.php on line 8
[17-Apr-2024 01:02:36 Europe/London] PHP Fatal error:  require(): Failed opening required 'ABSPATHWPINC/option.php' (include_path='.:/opt/alt/php74/usr/share/pear') in /home/pdxebccx/public_html/wp/wp-includes/functions.php on line 8
  3. 網站遭植入博弈 SEO 垃圾內容
  4. 伺服器架構資訊暴露
    • 目錄瀏覽頁面顯示:Apache/2.4.41 (Ubuntu) Server at www.ce.tku.edu.tw Port 80
    • HTTP 回應標頭顯示:Server: nginx/1.18.0 (Ubuntu)
    • 推斷架構為 Nginx 反向代理 + Apache 後端
      已洩漏之敏感資訊:伺服器內部路徑 PHP 版本 PEAR 路徑 時區設定 WordPress 核心版本 主機帳號 反向代理架構

網站遭入侵跡象
網站首頁遭大量植入博弈 SEO 垃圾內容,包含:

  • 超過 800 筆印尼博弈關鍵字(slot gacor、toto togel、agen toto 等)
  • 多個外部博弈網站連結(winsortoto、magnum188、titi4d、bobatoto 等)
  • 此為典型的 WordPress 網站被駭後植入 SEO 垃圾手法

影響

  • 攻擊者可利用暴露的內部路徑進行更精準的攻擊
  • PHP 錯誤日誌可能包含敏感資訊,協助攻擊者了解系統架構
  • 網站已遭入侵植入博弈垃圾內容,嚴重影響學校聲譽
  • 暴露的 WordPress 核心檔案列表可協助攻擊者尋找特定版本弱點
  • 若 WordPress 核心、外掛或主題未及時更新,可能遭進一步入侵
  • 使用者資料、管理員帳號可能已遭竊取

修補建議

1. 關閉目錄瀏覽功能
2. 移除或限制存取錯誤日誌

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;