自定义 css-js-php WordPress 插件 SQLi 导致 RCE (CVE-2026-6433)

执行摘要

WordPress插件Custom css-js-php（版本2.0.7及之前）存在一个严重的未认证SQL注入漏洞，允许远程攻击者在服务器上执行任意PHP代码。该漏洞被跟踪为CVE-2026-6433，CVSS基础得分为9.8，无需认证或用户交互。根据WPScan发布的披露信息，插件在将用户提供的输入纳入SQL查询之前未能进行清理，并且查询结果随后被传递给PHP的eval()函数，从而直接导致代码执行。截至2026年5月11日，尚未发布补丁。

技术分析

该漏洞存在于插件处理用于SQL查询的用户输入中。WPScan提供的源材料指出，插件“在使用用户输入进行SQL查询之前没有正确清理用户输入，并且结果被传递给eval()。”这种两阶段的缺陷特别危险：单独的SQL注入可能使攻击者能够从WordPress数据库中窃取数据，但eval()调用将影响提升到完整的远程代码执行（RCE）。

未经认证的攻击者可以向插件的端点发送恶意HTTP请求，注入SQL命令以改变查询结果，以包含任意PHP代码。当插件检索到这个结果并将其传递给eval()时，攻击者提供的PHP代码将以Web服务器的权限执行。这种模式——SQLi链到eval()——不常见但历史上具有破坏性；其他WordPress插件中的类似漏洞导致了网站完全被攻陷和服务器接管。

插件的目的是允许站点管理员注入自定义CSS、JavaScript和PHP，这意味着它固有地需要提升权限以合法使用。然而，CVE-2026-6433绕过了任何访问控制，将功能暴露给未经认证的用户。WPScan在此写作时尚未公开详细的易受攻击的输入参数，可能是为了允许站点所有者在积极利用开始之前有时间进行缓解。

缓解措施与建议

截至2026年5月11日，Custom css-js-php尚无补丁版本。插件的最后一次更新（版本2.0.7）早于此次披露，供应商尚未提供修复。防御者应采取以下步骤：

1. 立即禁用插件，在所有活跃的WordPress安装中。如果需要自定义CSS/JS/PHP注入以实现站点功能，请迁移到具有维护安全姿态的替代插件。
2. 审查服务器访问日志，查找针对插件端点的可疑SQL注入模式。寻找包含SQL关键字（UNION、SELECT、INTO OUTFILE）或PHP代码片段（<?php、system()、eval()）的不寻常查询参数。
3. 应用Web应用程序防火墙（WAF）规则，以阻止包含SQL元字符和PHP代码字符串在同一参数中的请求——这是一个强烈表明利用此特定漏洞的签名。
4. 监控Web根目录的文件完整性，以查找意外的PHP文件或对现有插件文件的修改，因为成功的RCE通常会导致后门部署。

鉴于CVSS 9.8的严重性和缺乏补丁，任何运行此插件的站点都应将其视为积极被攻陷，直到另有证明。