CVE-2026-1797WordPress的“预约预订和计划插件——Truebooker”在所有1.1.4及以下版本中存在敏感信息泄露漏洞。该漏洞源于插件对视图PHP文件的保护不当,允许未经身份验证的攻击者通过直接访问这些文件来查看潜在的敏感信息。由于无需用户交互且攻击复杂度低,该漏洞对使用受影响版本的网站构成中等风险。
该漏洞的根本原因在于WordPress插件Truebooker未能正确限制对插件目录下视图文件的直接访问。在WordPress插件开发规范中,视图文件通常仅作为模板被主文件引用,不应暴露给公网直接访问。然而,受影响的Truebooker插件在`/main/views/`目录下的PHP文件缺少必要的访问控制检查(如`ABSPATH`常量检查)。攻击者无需任何权限或用户交互,只需构造特定的HTTP请求直接访问视图文件URL(例如`/wp-content/plugins/truebooker-appointment-booking/main/views/truebooker-user.php`),服务器便会直接解析或输出文件内容。这可能导致源代码片段、内部路径结构或调试信息泄露。攻击者可利用这些信息辅助进行后续的深度攻击。