CVE-2026-39616 CVSS 5.3 中危

CVE-2026-39616: Download Attachments插件授权绕过漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39616

漏洞类型

IDOR / 授权绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Download Attachments (WordPress Plugin)

漏洞概述

dFactory开发的WordPress插件Download Attachments在1.4.0及之前版本中存在安全缺陷。该漏洞被归类为通过用户控制密钥导致的授权绕过，本质上属于不安全的直接对象引用（IDOR）。由于插件未能正确配置访问控制安全级别，未对敏感资源的访问请求进行严格的权限校验，导致未经身份验证的攻击者可以利用此漏洞直接访问并下载本应受保护的附件文件，造成信息泄露。

技术细节

该漏洞的核心在于插件处理下载请求时的逻辑缺陷。攻击者无需具备任何权限（PR:N）即可发起攻击。漏洞成因是插件在处理附件下载请求时，过度依赖用户可控的参数（如附件ID或特定的令牌）来决定访问权限，而没有正确验证当前请求上下文是否具备该资源的所有权或访问权。这种IDOR漏洞使得攻击者能够通过遍历或猜测ID的方式，构造恶意HTTP请求直接访问后台受限资源。由于CVSS向量显示无需用户交互，攻击过程可完全自动化，批量扫描并窃取站点中的敏感附件数据。

攻击链分析

STEP 1

Reconnaissance

Identify WordPress sites using the Download Attachments plugin (version <= 1.4.0).

STEP 2

Vulnerability Detection

Analyze the plugin's download endpoint to determine if access controls are missing.

STEP 3

Exploitation

Send crafted HTTP requests with manipulated attachment IDs to the vulnerable endpoint.

STEP 4

Data Exfiltration

Download restricted attachments without authentication, leading to information disclosure.

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL
# Replace with the actual target domain
target_url = "http://example.com/wp-content/plugins/download-attachments/download.php?id=1"

# Send request without authentication
# Exploiting IDOR by manipulating the 'id' parameter
response = requests.get(target_url)

if response.status_code == 200:
    print("[+] Vulnerability confirmed! File downloaded.")
    print("[+] Content length:", len(response.content))
else:
    print("[-] Target not vulnerable or ID does not exist.")

影响范围

Download Attachments <= 1.4.0

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Download Attachments插件，或者通过Web服务器配置（如Apache .htaccess或Nginx规则）限制对插件目录下download.php等文件的直接访问，只允许特定IP或经过认证的用户访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表