CVE-2026-5118 (CVSS 9.8) - The Divi Form Builder plugin for WordPress is vulnerable to privilege escalation
CVE-2026-5118 是 Divi Form Builder WordPress 插件中严重权限提升漏洞,CVSS 9.8。攻击者可绕过角色校验创建管理员账户,实现站点完全接管。建议立即更新至 5.1.3 版本,并审计已有管理员账户。
CVE-2026-5118 (CVSS 9.8) - The Divi Form Builder plugin for WordPress is vulnerable to privilege escalation
📋 漏洞概述
Divi Form Builder 插件在用户注册时未验证角色参数,允许未认证攻击者创建管理员账户,导致权限提升。
📋 基础信息
| 受影响版本 | Divi Form Builder plugin for WordPress <= 5.1.2 |
| 漏洞类型 | 权限提升 / 输入验证不当 |
| CVSS | 9.8 · Critical |
| CVE | CVE-2026-5118 |
🔬 漏洞根因
该插件在处理用户注册的 POST 请求时,直接接受名为 'role' 的用户可控参数,没有与表单配置中的 'default_user_role' 设置进行比对或过滤。代码中缺少对角色枚举值的白名单校验,导致任意角色(如 administrator)都可以被未经授权的用户提交。
🎯 攻击场景
1. 攻击者在目标站点上定位一个使用 Divi Form Builder 插件的注册表单。 2. 攻击者构造一个带有篡改 'role' 参数(例如 role=administrator)的 POST 请求发送至注册端点。 3. 由于后端未对角色参数进行合法性校验,该请求通过验证并创建新用户。 4. 攻击者使用创建的管理员账户登录 WordPress 后台。 5. 攻击者获得完全站点控制权,可上传恶意插件/主题、修改配置或窃取数据。
💥 漏洞影响
未认证攻击者可以创建具有管理员权限的账户,完全控制 WordPress 站点,包括数据泄露、篡改网页内容、植入后门、以及进一步横向攻击。
🛡️ 修复建议
立即升级 Divi Form Builder 插件至 5.1.3 或更高版本。临时缓解措施:禁用用户注册表单或添加 WAF 规则阻止包含 'role=administrator' 等关键角色的 POST 请求;也可通过用户角色编辑器插件限制新用户的默认角色为订阅者。
📎 参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2026-5118
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-5118
- 原始来源(NVD-Latest)
🚨 威胁评估
| 📈 EPSS 利用概率 | 低 (0.0%) (高于 9.7% 的漏洞) |
| 🚨 CISA KEV | 未被已知利用 |
| 🔧 公开 PoC | 4 个公开 PoC 仓库 |
⚠️ 本文由漏洞情报系统自动生成,仅供安全研究与防御参考。生成时间: 2026-05-24 00:46 | 来源: NVD-Latest
🤖 常见问题解答(FAQ)
❓ 如何检测站点是否受影响?
检查当前 Divi Form Builder 插件版本是否为 <= 5.1.2。尝试抓取注册 POST 请求,看 response 中是否直接包含 role 参数且未校验。
❓ 修复后是否需检查已创建恶意管理员?
必须立即审查所有管理员账户,删除来源不明或创建时间异常的账户,并检查其最近操作日志,移除潜在后门。
❓ 攻击是否需要特定的 WordPress 配置?
不需要特殊配置。只需要站点上安装并启用了存在漏洞版本的 Divi Form Builder 插件且存在公开用户注册表单。