CVE-2026-4607WordPress插件ProfileGrid在5.9.8.4及以下版本中存在权限绕过漏洞。该漏洞源于插件未能正确验证用户是否有权限执行特定AJAX操作(如pm_set_group_order等)。这导致拥有订阅者及以上权限的经过身份验证的攻击者,可以绕过安全检查,修改全站的ProfileGrid组设置,包括组菜单顺序、组列表顺序、组图标显示和字段排序等。由于攻击仅需低权限账号且无需用户交互,该漏洞对网站的数据完整性构成中等风险。
该漏洞的根源在于WordPress插件ProfileGrid的后端管理代码中缺乏严格的权限校验机制。具体而言,在`class-profile-magic-admin.php`文件中,注册了`pm_set_group_order`、`pm_set_group_items`和`pm_set_field_order`这三个AJAX动作来处理前端发来的设置修改请求。当这些动作被触发时,对应的回调函数直接执行了更新数据库选项(如组排序、字段排序)的操作,而没有调用`current_user_can()`函数来验证当前用户是否具备管理插件或管理站点的权限。攻击者利用此缺陷,只需拥有一个低权限的订阅者账户,即可向`/wp-admin/admin-ajax.php`端点发送特制的POST请求。请求中包含恶意的参数(如新的排序数据),服务器在处理时会误以为是管理员操作,从而允许攻击者篡改网站的全局配置。