🔴 严重 | CVE-2026-57813 — Incorrect Privilege Assignment vulnerability in pr...
🔴 《严重安全漏洞:CVE-2026-57813》
CVSS 评分: 严重(9.8) 状态: Received 发布时间: 2026-07-13
漏洞简介
该漏洞(CVE-2026-57813)存在于 WordPress 插件 MailOptin 中,属于 不正确的权限分配(Incorrect Privilege Assignment) 漏洞,对应 CWE 分类为 CWE-266。该漏洞允许攻击者进行 权限提升(Privilege Escalation),即从低权限用户(如订阅者)提升至更高权限(如管理员),从而完全控制受影响的 WordPress 站点。
漏洞的根本原因在于插件在处理用户角色或权限时,未能正确验证或限制某些操作,导致未经授权的用户能够通过构造特定请求来获取本不应拥有的管理权限。
影响范围
- 受影响软件:WordPress 插件 MailOptin(由 properfraction 开发)
- 受影响版本:从 n/a(未知起始版本)至 1.2.77.3(含)及以下所有版本
- CVSS 评分:9.8(严重),向量为
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H,表明该漏洞可被远程、无需认证、无需用户交互地利用,且能完全破坏机密性、完整性和可用性。
风险分析
攻击条件:攻击者无需任何身份验证(PR:N),也无需用户交互(UI:N),仅需通过网络(AV:N)发送特制请求即可触发漏洞。攻击复杂度低(AC:L),意味着利用门槛极低。
攻击后果:
- 权限提升:攻击者可以从普通用户(如订阅者)或甚至未登录状态,直接获得管理员权限。
- 完全控制站点:一旦获得管理员权限,攻击者可以安装恶意插件、修改网站内容、窃取用户数据、植入后门,甚至将网站用于钓鱼或分发恶意软件。
- 影响范围广:由于 MailOptin 是一个邮件营销和用户管理插件,广泛用于 WordPress 站点,因此大量使用受影响版本的网站均面临被完全接管的风险。
修复建议:用户应立即将 MailOptin 插件升级至 1.2.77.4 或更高版本(如果已发布),或暂时禁用该插件直至补丁可用。同时,建议检查网站中是否存在可疑管理员账户或异常操作日志。
🔍 技术细节
| 字段 | 值 |
|---|---|
| CVE ID | CVE-2026-57813 |
| CVSS 评分 | 9.8 🔴 |
| 严重程度 | 严重 |
| CVSS 向量 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE 分类 | CWE-266 |
| 发布时间 | 2026-07-13 |
| 最后更新 | 2026-07-13 |
| 状态 | Received |
| 数据来源 | audit@patchstack.com |
🔗 参考链接
💬 评论