由于这个插件已经于2019年被wordpress团队以安全理由停止下载,所以我这里直接贴出漏洞详情
在插件的hc_request_handler.php下hc_request_handler()函数
function hc_request_handler()
{
global $post;
global $wpdb;
if(empty($_GET[‘hc_action’])) return;
switch ($_GET[‘hc_action’])
……
case ‘update_options’:
$options = (array)json_decode(stripslashes($_POST[‘data’]));
foreach ($options as $key => $value) {
update_option($key, $value);
}
echo json_encode(array(‘result’=>’success’));
exit();
这里缺少了一个权限判断,从而导致未经认证用户可以直接从外部POST一个json数据 就可以随意更新网站配置