📋 漏洞概述

WordPress TheCartPress 1.5.3.6 存在未授权权限提升漏洞，可创建管理员账户获取完全控制权。

📋 基础信息

🔬 漏洞根因

插件中AJAX处理函数 `tcp_register_and_login_ajax` 未对请求来源做身份验证和权限检查。`tcp_role` 参数直接用于创建用户角色，且未强制校验默认角色限制。攻击者可通过构造POST请求，将角色参数设为 `administrator` 触发注册逻辑，从而创建管理员账户。该缺陷源于对WordPress AJAX API的不安全使用，直接暴露了用户创建接口且未做CSRF防护。

🎯 攻击场景

1. 攻击者扫描目标站点确认TheCartPress插件版本为1.5.3.6； 2. 构造POST请求，发送至 `/wp-admin/admin-ajax.php`，设置 `action=tcp_register_and_login_ajax`，参数包含任意用户名、密码及邮箱，并设置 `tcp_role=administrator`； 3. 请求无需任何身份凭证，直接提交； 4. 服务器接收请求后创建WordPress管理员账户，并返回登录凭证或会话标识； 5. 攻击者使用新创建的账户登录，获得WordPress站点完全控制权，可安装恶意插件、篡改内容、窃取数据。

💥 漏洞影响

攻击者可未经身份验证直接创建WordPress管理员账户，从而完全控制站点。危害包括：篡改网页内容植入恶意代码、窃取用户数据库、获得服务器进一步渗透权限。影响所有启用该插件的WordPress站点，无需用户交互。

🛡️ 修复建议

立即升级TheCartPress至1.5.3.7或更高版本；临时缓解措施包括：禁用AJAX端点 `/wp-admin/admin-ajax.php` 中的 `tcp_register_and_login_ajax` 动作（可通过添加 `.htaccess` 规则或使用WAF过滤），或彻底停用并删除该插件直至完成修补。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2021-47932
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-47932
• 原始来源（NVD-Latest）

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-12 08:06 | 来源: NVD-Latest