WordPress 插件 Page Builder by SiteOrigin 曝出高危漏洞,影响超 50 万站点
2026 年,WordPress 安全团队发布了关于 Page Builder by SiteOrigin 插件严重漏洞的安全公告。这是该插件在 2026 年发现的第三个安全漏洞,CVSS 严重性评分高达8.8 分,受影响网站超过50 万个。
漏洞核心:本地文件包含(LFI)
该漏洞属于本地文件包含(Local File Inclusion)类型,影响所有2.33.5 及更早版本。问题出在插件的 locate_template() 函数中,该函数未能正确限制可加载的文件范围。 正常情况下,该函数只应加载经过批准的模板文件。但由于缺乏有效的文件路径验证,攻击者可以强制插件加载服务器上已存在的任意文件。
攻击门槛:仅需 Contributor 级别权限
值得注意的是,此漏洞需要身份验证才能利用,但门槛较低。攻击者只需拥有Contributor(贡献者)或更高级别的 WordPress 用户权限即可。 Contributor 是 WordPress 中最低的用户角色之一,可以创建和提交文章但无法直接发布。这意味着攻击者无需管理员权限,只需一个普通账户就能发起攻击。
潜在风险与攻击场景
一旦利用成功,攻击者可以:
- 绕过访问控制,获取敏感数据
- 执行任意 PHP 代码(如果能上传文件到服务器)
- 包含并执行服务器上的现有文件
根据 Wordfence 官方安全公告,如果攻击者能够上传图像等”安全”文件类型到服务器,就可以强制插件包含并执行这些文件中的 PHP 代码,从而实现代码执行。
修复建议与行动方案
受影响版本:Page Builder by SiteOrigin 2.33.5 及所有更早版本 已修复版本:2.34.0 站点管理员应立即采取以下措施:
- 优先方案:立即将插件更新至2.34.0 或更新版本
- 临时方案:如果暂时无法更新,请禁用该插件直到可以完成更新
- 检查权限:审查站点上的 Contributor 级别用户账户,确保无可疑账户
