wordpress 十余款插件集中曝高危漏洞:csrf、xss、文件包含、权限提升,官方补丁缺失,百度云防护 waf 可虚拟补丁拦截 | 主机吧-澳门凯发

2026 年 6 月 12 日,国家信息安全漏洞共享平台(cnvd)集中收录了 十余款 wordpress 插件的安全漏洞,涉及 跨站请求伪造(csrf)、跨站脚本(xss)、任意文件包含、权限提升、支付状态篡改 等多种高风险类型。这些插件包括 wp-ultimate-map、wpmobi、wp emoticon rating、wp meta sort posts、wp gdpr cookie consent、custom block builder、wpforms、recover exit for woocommerce、6storage rentals、events for geodirectory 等。其中多个插件 官方尚未发布修复补丁,使用这些插件的 wordpress 网站面临数据泄露、会话劫持、甚至服务器沦陷的严重风险。本文全面梳理本次漏洞详情,并提供基于 百度云防护 waf 的虚拟补丁防御方案。


一、 漏洞概览

以下列表汇总了本次披露的主要漏洞信息(按危害级别排序):

插件名称漏洞类型危害级别影响版本官方补丁cve 编号
recover exit for woocommerce任意文件包含(lfi→rce)(9.8)≤1.0.3❌ 无cve-2026-9662
6storage rentals未明(信息泄露)≤2.22.0❌ 无cve-2026-9185
events for geodirectory权限提升(订阅者→管理员)≤2.3.28❌ 无cve-2026-11616
wp emoticon ratingcsrf → xss中(6.5)≤1.0.1❌ 无cve-2026-8910
wp-ultimate-mapcsrf中(6.5)≤1.1❌ 无cve-2026-8907
wpmobicsrf中(5.3)≤0.3❌ 无cve-2026-8909
wp meta sort postscsrf中(5.3)≤0.9❌ 无cve-2026-8940
wpformswebhook 伪造支付状态中(5.3)<1.10.0.5✅ 已修复cve-2026-4986
custom block builderxss低(4.3)<4.3.0✅ 已修复cve-2026-8981
wp gdpr cookie consentxss未明确未知❌ 无未分配
wp-ultimate-mapcsrf≤1.1❌ 无cve-2026-8907

注:部分插件尚无 cve 编号或补丁,建议立即停用。


二、 高危漏洞深度解析

2.1 cve-2026-9662:recover exit for woocommerce 任意文件包含 → 远程代码执行

影响版本:≤1.0.3
危害等级:cvss 9.8(严重)

漏洞原理:插件在处理 tpf post 参数时未进行充分验证和清理,允许攻击者通过路径遍历(../)包含服务器上的任意 php 文件。攻击者可利用此漏洞包含系统敏感文件(如 /etc/passwd)或触发 php 对象注入,进而实现 远程代码执行(rce),完全控制 wordpress 站点。

利用条件:无需认证,远程利用,复杂度低。

官方状态无补丁。建议立即停用并删除该插件。

2.2 cve-2026-9185:6storage rentals 未明漏洞(高危信息泄露)

影响版本:≤2.22.0
危害等级:cvss 7.5(高危)

漏洞描述:插件存在设计缺陷,未经身份验证的攻击者可获取敏感数据(如租户订单信息、支付记录等)。具体细节尚未公开,但已确认可导致 机密性完全丧失

官方状态无补丁

2.3 cve-2026-11616:events for geodirectory 权限提升

影响版本:≤2.3.28
危害等级:cvss 8.8(高危)

漏洞原理:插件的 ajax_ayi_action() 处理程序仅使用 strip_tags()esc_sql() 进行过滤,未采用白名单校验。具有订阅者权限(最低级注册用户)的攻击者可利用该漏洞将自己的权限提升至 管理员,完全接管网站。

官方状态无补丁

2.4 其他中危漏洞(csrf / xss / 支付状态篡改)

插件具体风险
wp emoticon ratingcsrf 导致攻击者可诱使管理员点击恶意链接,修改插件设置并注入 xss 脚本,窃取 cookie 或钓鱼
wp-ultimate-mapcsrf 可导致非授权操作(如删除地图数据)
wpmobicsrf 可篡改移动端显示设置
wp meta sort postscsrf 可修改文章排序规则
wpforms未验证 paypal webhook 真实性,攻击者可伪造支付成功通知,篡改订单状态(已修复,请升级至 1.10.0.5)
custom block builderxss 漏洞(已修复,升级至 4.3.0)

三、 为什么这些漏洞极难防范?

  • 官方补丁缺失:多数插件已停止维护,永久不会发布安全更新。
  • 攻击门槛极低:csrf 和文件包含攻击无需认证,只需诱导管理员点击链接即可。
  • 影响范围广泛:这些插件虽然安装量不大,但一旦使用,wordpress 网站便长期暴露于风险中。

四、 紧急应对方案

4.1 立即停用受影响插件(最高优先级)

登录 wordpress 后台 → 插件 → 已安装插件,找到以下插件并点击 “停用”“删除”

  • recover exit for woocommerce
  • 6storage rentals
  • events for geodirectory
  • wp emoticon rating
  • wp-ultimate-map
  • wpmobi
  • wp meta sort posts
  • wp gdpr cookie consent(若无补丁版本)
  • custom block builder(若低于 4.3.0)
  • wpforms(若低于 1.10.0.5)

对于已有补丁的插件(wpforms、custom block builder),请立即升级到安全版本。

4.2 清理已存在的恶意代码

如果怀疑已被攻击,请检查:

  • 是否有新增管理员账号(events for geodirectory 漏洞可能导致权限提升)。
  • 检查 wp-config.php、主题 functions.php 中是否有恶意代码。
  • 查看访问日志,搜索 ../tpf= 等可疑参数。

4.3 部署 web 应用防火墙(waf)—— 无补丁插件的最佳防御

由于多个插件官方不提供补丁,仅靠停用并不安全(你可能不知道哪些站点还在使用)。部署 百度云防护 waf 可以在网络层实时拦截针对这些漏洞的攻击流量,提供“虚拟补丁”能力。

百度云防护 web应用防火墙waf 防黑客入侵 cc攻击拦截 网络爬虫拦截[出售]

百度云防护如何防御?

漏洞类型waf 检测机制
任意文件包含(lfi/rfi)检测 tpf 参数中的 ../../file:// 等路径穿越特征
csrf虽无法完全防御 csrf(因为请求看起来合法),但可配合 ip 情报库ja4 指纹 封杀扫描工具,并限制后台路径的访问频率
xss内置 xss 规则(规则 id 4196 等),可拦截注入的
网站地图