目录
2026 年 6 月 12 日,国家信息安全漏洞共享平台(cnvd)集中收录了 十余款 wordpress 插件的安全漏洞,涉及 跨站请求伪造(csrf)、跨站脚本(xss)、任意文件包含、权限提升、支付状态篡改 等多种高风险类型。这些插件包括 wp-ultimate-map、wpmobi、wp emoticon rating、wp meta sort posts、wp gdpr cookie consent、custom block builder、wpforms、recover exit for woocommerce、6storage rentals、events for geodirectory 等。其中多个插件 官方尚未发布修复补丁,使用这些插件的 wordpress 网站面临数据泄露、会话劫持、甚至服务器沦陷的严重风险。本文全面梳理本次漏洞详情,并提供基于 百度云防护 waf 的虚拟补丁防御方案。
一、 漏洞概览
以下列表汇总了本次披露的主要漏洞信息(按危害级别排序):
| 插件名称 | 漏洞类型 | 危害级别 | 影响版本 | 官方补丁 | cve 编号 |
|---|---|---|---|---|---|
| recover exit for woocommerce | 任意文件包含(lfi→rce) | 高(9.8) | ≤1.0.3 | ❌ 无 | cve-2026-9662 |
| 6storage rentals | 未明(信息泄露) | 高 | ≤2.22.0 | ❌ 无 | cve-2026-9185 |
| events for geodirectory | 权限提升(订阅者→管理员) | 高 | ≤2.3.28 | ❌ 无 | cve-2026-11616 |
| wp emoticon rating | csrf → xss | 中(6.5) | ≤1.0.1 | ❌ 无 | cve-2026-8910 |
| wp-ultimate-map | csrf | 中(6.5) | ≤1.1 | ❌ 无 | cve-2026-8907 |
| wpmobi | csrf | 中(5.3) | ≤0.3 | ❌ 无 | cve-2026-8909 |
| wp meta sort posts | csrf | 中(5.3) | ≤0.9 | ❌ 无 | cve-2026-8940 |
| wpforms | webhook 伪造支付状态 | 中(5.3) | <1.10.0.5 | ✅ 已修复 | cve-2026-4986 |
| custom block builder | xss | 低(4.3) | <4.3.0 | ✅ 已修复 | cve-2026-8981 |
| wp gdpr cookie consent | xss | 未明确 | 未知 | ❌ 无 | 未分配 |
| wp-ultimate-map | csrf | 中 | ≤1.1 | ❌ 无 | cve-2026-8907 |
注:部分插件尚无 cve 编号或补丁,建议立即停用。
二、 高危漏洞深度解析
2.1 cve-2026-9662:recover exit for woocommerce 任意文件包含 → 远程代码执行
影响版本:≤1.0.3
危害等级:cvss 9.8(严重)
漏洞原理:插件在处理 tpf post 参数时未进行充分验证和清理,允许攻击者通过路径遍历(../)包含服务器上的任意 php 文件。攻击者可利用此漏洞包含系统敏感文件(如 /etc/passwd)或触发 php 对象注入,进而实现 远程代码执行(rce),完全控制 wordpress 站点。
利用条件:无需认证,远程利用,复杂度低。
官方状态:无补丁。建议立即停用并删除该插件。
2.2 cve-2026-9185:6storage rentals 未明漏洞(高危信息泄露)
影响版本:≤2.22.0
危害等级:cvss 7.5(高危)
漏洞描述:插件存在设计缺陷,未经身份验证的攻击者可获取敏感数据(如租户订单信息、支付记录等)。具体细节尚未公开,但已确认可导致 机密性完全丧失。
官方状态:无补丁。
2.3 cve-2026-11616:events for geodirectory 权限提升
影响版本:≤2.3.28
危害等级:cvss 8.8(高危)
漏洞原理:插件的 ajax_ayi_action() 处理程序仅使用 strip_tags() 和 esc_sql() 进行过滤,未采用白名单校验。具有订阅者权限(最低级注册用户)的攻击者可利用该漏洞将自己的权限提升至 管理员,完全接管网站。
官方状态:无补丁。
2.4 其他中危漏洞(csrf / xss / 支付状态篡改)
| 插件 | 具体风险 |
|---|---|
| wp emoticon rating | csrf 导致攻击者可诱使管理员点击恶意链接,修改插件设置并注入 xss 脚本,窃取 cookie 或钓鱼 |
| wp-ultimate-map | csrf 可导致非授权操作(如删除地图数据) |
| wpmobi | csrf 可篡改移动端显示设置 |
| wp meta sort posts | csrf 可修改文章排序规则 |
| wpforms | 未验证 paypal webhook 真实性,攻击者可伪造支付成功通知,篡改订单状态(已修复,请升级至 1.10.0.5) |
| custom block builder | xss 漏洞(已修复,升级至 4.3.0) |
三、 为什么这些漏洞极难防范?
- 官方补丁缺失:多数插件已停止维护,永久不会发布安全更新。
- 攻击门槛极低:csrf 和文件包含攻击无需认证,只需诱导管理员点击链接即可。
- 影响范围广泛:这些插件虽然安装量不大,但一旦使用,wordpress 网站便长期暴露于风险中。
四、 紧急应对方案
4.1 立即停用受影响插件(最高优先级)
登录 wordpress 后台 → 插件 → 已安装插件,找到以下插件并点击 “停用” 后 “删除”:
- recover exit for woocommerce
- 6storage rentals
- events for geodirectory
- wp emoticon rating
- wp-ultimate-map
- wpmobi
- wp meta sort posts
- wp gdpr cookie consent(若无补丁版本)
- custom block builder(若低于 4.3.0)
- wpforms(若低于 1.10.0.5)
对于已有补丁的插件(wpforms、custom block builder),请立即升级到安全版本。
4.2 清理已存在的恶意代码
如果怀疑已被攻击,请检查:
- 是否有新增管理员账号(events for geodirectory 漏洞可能导致权限提升)。
- 检查
wp-config.php、主题functions.php中是否有恶意代码。 - 查看访问日志,搜索
../或tpf=等可疑参数。
4.3 部署 web 应用防火墙(waf)—— 无补丁插件的最佳防御
由于多个插件官方不提供补丁,仅靠停用并不安全(你可能不知道哪些站点还在使用)。部署 百度云防护 waf 可以在网络层实时拦截针对这些漏洞的攻击流量,提供“虚拟补丁”能力。
百度云防护如何防御?
| 漏洞类型 | waf 检测机制 |
|---|---|
| 任意文件包含(lfi/rfi) | 检测 tpf 参数中的 ../、../、file:// 等路径穿越特征 |
| csrf | 虽无法完全防御 csrf(因为请求看起来合法),但可配合 ip 情报库 和 ja4 指纹 封杀扫描工具,并限制后台路径的访问频率 |
| xss | 内置 xss 规则(规则 id 4196 等),可拦截注入的
|
