CVE-2026-6960 (CVSS 9.8) - The BookingPress Pro plugin for WordPress is vulnerable to arbitrary file upload
CVE-2026-6960 CVSS 9.8:BookingPress Pro WordPress插件5.6及之前版本存在严重任意文件上传漏洞。未经认证的攻击者可在服务器上传webshell实现远程代码执行,完全控制站点。立即升级至5.7或禁用签名字段。
CVE-2026-6960 (CVSS 9.8) - The BookingPress Pro plugin for WordPress is vulnerable to arbitrary file upload
📋 漏洞概述
BookingPress Pro插件5.6及之前版本存在任意文件上传漏洞,未验证文件类型,未经认证攻击者可利用签名自定义字段实现RCE。
📋 基础信息
| 受影响版本 | BookingPress Pro for WordPress <= 5.6 |
| 漏洞类型 | 任意文件上传 |
| CVSS | 9.8 · Critical |
| CVE | CVE-2026-6960 |
🔬 漏洞根因
在函数'bookingpress_validate_submitted_booking_form_func'中,当处理签名自定义字段时,未对上传文件的MIME类型、扩展名或文件内容进行任何验证。仅依赖客户端安全检查,服务器端缺失过滤逻辑,导致攻击者可以直接上传PHP、JSP等可执行脚本文件。该函数在所有用户提交表单时都会被调用,且未进行身份验证检查。
🎯 攻击场景
前提条件:管理员在Booking表单中添加了“签名”自定义字段(Signature Custom Field)。 步骤:1) 攻击者访问前台预约表单页面,定位签名上传接口;2) 伪造multipart/form-data请求,将签名文件字段替换为包含PHP一句话木马的webshell文件(如shell.php);3) 提交表单,服务器端因缺乏文件类型校验,将恶意文件存储到可访问目录(如wp-content/uploads/);4) 攻击者使用浏览器或curl访问该文件的URL,触发PHP执行;5) 获取Webshell后执行任意命令,实现远程代码执行,完全控制WordPress站点。
💥 漏洞影响
未经认证的攻击者可在服务器上上传任意文件,导致远程代码执行(RCE)。成功利用可完全接管WordPress网站,包括数据窃取、篡改、植入后门、横向移动至同一服务器上的其他站点。
🛡️ 修复建议
立即升级到BookingPress Pro >= 5.7(官方已修复)。临时缓解措施:禁用所有包含签名自定义字段的预约表单;或者通过Web应用防火墙(WAF)规则阻止上传.php/.phtml/.shtml等可执行扩展名文件;同时限制upload目录的执行权限(在.htaccess中设置php_flag engine off)。
📎 参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2026-6960
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-6960
- 原始来源(NVD-Latest)
🚨 威胁评估
| 📈 EPSS 利用概率 | 低 (0.1%) (高于 35.1% 的漏洞) |
| 🚨 CISA KEV | 未被已知利用 |
| 🔧 公开 PoC | 1 个公开 PoC 仓库 |
⚠️ 本文由漏洞情报系统自动生成,仅供安全研究与防御参考。生成时间: 2026-05-24 08:09 | 来源: NVD-Latest
🤖 常见问题解答(FAQ)
❓ 如何检测是否被利用?
检查wp-content/uploads/目录下是否有非预期PHP文件;查看服务器访问日志中针对upload目录的POST请求及随后的GET请求;使用文件完整性监控工具比对关键系统文件哈希。
❓ 漏洞利用是否需要管理员权限?
不需要。描述明确为“unauthenticated attackers”,攻击者无需登录或任何权限即可触发。
❓ 签名自定义字段是默认开启吗?
不是默认开启。需要管理员在编辑预约表单时手动添加“签名”字段,触发条件限制了漏洞的广泛性,但配置此类表单的网站依然高危。