📋 漏洞概述

Geeky Bot WordPress插件因缺少权限验证，允许未认证攻击者通过AJAX接口安装任意插件，实现远程代码执行。

📋 基础信息

🔬 漏洞根因

插件在实现AJAX路由时错误地使用了nopriv钩子，使得未登录用户也可以访问本应仅管理员可用的接口。该接口直接接受攻击者控制的model和function参数，通过动态调度执行install_plugin方法，该方法会下载并解压攻击者提供的ZIP文件到插件目录，整个过程未对用户身份和文件来源进行任何校验。

🎯 攻击场景

1. 攻击者识别目标WordPress站点运行了Geeky Bot插件1.2.2及以下版本；2. 构造恶意ZIP文件，内含PHP webshell文件并命名为合法插件结构；3. 向/wp-admin/admin-ajax.php发送POST请求，添加action=geeky_bot_nopriv及model/file参数指向插件安装函数，并传入恶意ZIP的远程下载URL；4. 插件下载并解压ZIP到wp-content/plugins/，完成任意插件安装；5. 攻击者访问新安装的插件中的webshell文件，获得服务器的远程代码执行权限。

💥 漏洞影响

未认证攻击者可在目标WordPress站点上安装任意插件并执行任意PHP代码，完全控制服务器，窃取数据、植入后门、发起横向攻击。

🛡️ 修复建议

升级Geeky Bot插件至1.2.3或更高版本；临时缓解措施：禁用该插件，或在Nginx/Apache层面禁止对/admin-ajax.php中特定action的未认证请求，或通过WordPress安全插件限制AJAX端点访问。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-5294
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-5294
• 原始来源（NVD-Latest）

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-08 08:03 | 来源: NVD-Latest