CVE-2026-4031: WordPress数据库备份插件授权绕过漏洞

漏洞信息

漏洞编号

CVE-2026-4031

漏洞类型

敏感信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Database Backup 插件

漏洞概述

WordPress的Database Backup插件在2.5.2及之前版本中存在严重的授权绕过漏洞。该漏洞源于插件未能正确限制`wp_db_temp_dir`参数，该参数用于控制数据库备份文件的写入路径。未经身份验证的攻击者可利用此缺陷，向`wp-cron.php`发送恶意请求，将临时目录篡改为公开可访问的目录（例如`wp-content/uploads/`）。当站点执行预设的备份计划时，备份文件会被写入攻击者指定的路径。由于备份文件名基于数据库名、日期等可预测因素生成，攻击者能在文件被清理前可靠地拦截并下载该文件。成功利用此漏洞会导致敏感信息泄露，包括数据库凭证、用户密码哈希及个人身份信息。

技术细节

该漏洞主要涉及WordPress插件中的参数验证缺失与文件操作逻辑缺陷。具体而言，插件在处理数据库备份时，直接使用了用户可控的`wp_db_temp_dir`参数作为临时文件的存储路径，未进行权限校验或路径合法性检查。攻击者无需登录（PR:N），即可构造包含恶意参数的HTTP请求发送至`wp-cron.php`。通过将该参数设置为`wp-content/uploads/`等Web可写且可访问的目录，攻击者改变了备份文件的落地位置。由于WordPress的Cron机制在处理请求时会检查并执行到期的计划任务，若此时恰逢备份任务触发，插件便会将包含敏感数据的SQL转储文件写入攻击者设定的目录。此外，文件命名算法依赖于数据库名、表前缀、日期和Swatch Internet Time，这种确定性使得攻击者能够精确计算出文件名。攻击者只需在文件生成后、清理程序执行前的时间窗口内访问该URL，即可完成数据窃取。

攻击链分析

STEP 1

侦察

攻击者识别目标网站正在使用存在漏洞的WordPress Database Backup插件（版本<=2.5.2）。

STEP 2

参数投毒

攻击者向`wp-cron.php`发送未经认证的HTTP请求，在请求参数中注入恶意的`wp_db_temp_dir`值（如指向wp-content/uploads），从而修改备份文件的临时写入路径。

STEP 3

触发备份

等待站点预设的计划备份任务执行，或者通过其他机制触发Cron任务。插件在执行备份时，将文件写入攻击者设定的公开目录。

STEP 4

数据窃取

攻击者根据可预测的文件命名规则（数据库名、日期、Swatch Internet Time），在文件被自动清理前，访问并下载包含敏感信息的数据库备份文件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import time

# Target configuration
target_url = "http://example.com/wp-cron.php"
poisoned_dir = "wp-content/uploads/"

# The vulnerability allows poisoning the temporary directory via GET request
# If a scheduled backup is triggered, the file will be saved here.
payload = {
    "wp_db_temp_dir": poisoned_dir
}

print(f"[*] Attempting to poison wp_db_temp_dir to: {poisoned_dir}")

try:
    response = requests.get(target_url, params=payload)
    if response.status_code == 200:
        print("[+] Request sent successfully.")
        print("[!] If a scheduled backup was due, check the uploads directory for the predictable backup file.")
        print("[!] Filename format typically involves: prefix, timestamp, and Swatch Internet Time.")
    else:
        print(f"[-] Server returned status code: {response.status_code}")
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Database Backup for WordPress <= 2.5.2

防御指南

临时缓解措施

建议立即检查并升级插件到最新版本。在未升级前，应通过Web服务器配置（如Nginx或Apache规则）禁止外部用户直接访问`wp-cron.php`文件，并将其改为系统级Cron任务执行，以阻断攻击者利用参数投毒的路径。同时，应定期审计`wp-content/uploads`目录，排查是否存在异常的备份文件。