CVE-2026-6456WordPress的Account Switcher插件在1.0.2及之前版本中存在严重的权限提升漏洞。该漏洞源于其REST API端点在验证secret时使用了弱比较,并且未验证secret是否为空。攻击者可利用空secret绕过验证,结合缺乏权限检查的API路由,低权限用户可切换至管理员账户,获取完全控制权。
该漏洞的核心技术缺陷在于`app/RestAPI.php`文件第111行使用了PHP的弱比较运算符(`!=`)而非严格比较(`!==`)来校验用户输入的`secret`参数,且代码未强制要求`secret`非空。当被攻击的目标管理员从未使用“记住我”功能时,其数据库中的`asSecret`字段为空字符串。此时,攻击者只需发送一个空的`secret`参数,即可满足验证条件(因为空字符串不等于空字符串的判定为假,即不触发错误),从而通过校验。此外,该插件的所有REST API路由均设置了`permission_callback => '__return_true'`,完全绕过了WordPress的标准权限检查机制。这使得仅拥有订阅者权限的攻击者也能调用`wp_set_auth_cookie()`函数,成功为任意用户(包括管理员)设置认证Cookie,进而接管管理员账户。