🔴 严重 | CVE-2026-14345 — The WPFunnels – Funnel Builder for WooCommerce wit...
🔴 《严重安全漏洞:CVE-2026-14345》
CVSS 评分: 严重(9.8) 状态: Received 发布时间: 2026-07-07
漏洞简介
CVE-2026-14345 是一个存在于 WordPress 插件 WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell 中的远程代码执行(Remote Code Execution, RCE)漏洞。该漏洞影响该插件所有版本,包括最新的 3.12.7 版本。漏洞根源在于插件对 postData 参数的处理存在严重缺陷:攻击者控制的 postData 值在写入日志文件时未经过任何净化(sanitization),且该日志文件具有 .log 扩展名,可以被 PHP 的 include_once 函数直接包含并执行。具体来说,插件在 wpfnl_show_log 功能中使用了 include_once 来渲染该日志文件,从而使得攻击者能够将恶意 PHP 代码写入日志文件,并在后续被包含时执行。
该漏洞涉及多个文件中的代码逻辑,包括:
admin/modules/settings/class-wpfnl-settings.php(第 709 行)includes/core/classes/class-wpfnl-ajax-handler.php(第 39 行、第 523 行)public/class-wpfnl-public.php(第 1185 行)
对应的 CWE 分类为 CWE-434(危险文件上传/写入),CVSS 3.1 评分为 9.8(严重),攻击向量为网络远程攻击,无需身份验证,无需用户交互,且影响机密性、完整性和可用性(均为高)。
影响范围
- 受影响软件:WPFunnels – Funnel Builder for WooCommerce with Checkout & One Click Upsell WordPress 插件
- 受影响版本:所有版本,包括 3.12.7 及更早版本
- 利用条件:
- 攻击者无需任何身份验证即可触发日志注入步骤(injection step),因为用于访问 optin 端点的 nonce(一次性令牌)在每个漏斗步骤页面上都是公开输出的。
- 漏洞的完整利用需要管理员在插件后台的“日志设置”(Log Settings)中开启“启用日志”(Enable Logs)开关,并且管理员随后通过插件提供的“日志设置查看 UI”(Log Settings View UI)打开被污染的日志文件,从而触发
include_once执行恶意代码。
风险分析
- 攻击后果:成功利用此漏洞的攻击者可以在目标 WordPress 服务器上执行任意 PHP 代码,从而完全控制服务器。这可能导致:
- 窃取数据库中的敏感信息(如用户凭证、订单数据、支付信息)。
- 篡改网站内容或植入恶意软件。
- 将服务器作为跳板攻击其他内部系统。
- 完全破坏网站的正常运行。
- 攻击难度:虽然最终触发代码执行需要管理员手动打开日志文件,但注入恶意代码的步骤完全无需身份验证,且 nonce 公开暴露,使得攻击者可以轻松将恶意 PHP 代码写入日志文件。一旦管理员(可能因正常运维或误操作)查看日志,攻击即成功。因此,该漏洞的实际风险极高。
- 修复建议:建议立即将 WPFunnels 插件升级至 3.12.7 之后的版本(如果存在修复版本),或暂时禁用“启用日志”功能,并避免在后台查看日志文件,直到官方发布安全补丁。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-14345 |
| CVSS 评分 | 9.8 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE 分类 | CWE-434 |
| 发布时间 | 2026-07-07 |
| 最后更新 | 2026-07-07 |
| 状态 | Received |
| 数据来源 | security@wordfence.com |
🔗 参考链接
💬 评论