文章总结： 网络安全专家发现WordPress插件UpdraftPlus存在严重身份验证绕过漏洞CVE-2026-10795，影响超300万站点。攻击者可通过加密RPC漏洞无需认证执行管理员操作，导致恶意插件上传和服务器完全接管。开发团队已发布补丁修复密码验证缺陷，建议用户立即更新至最新版本以抵御持续攻击。 综合评分： 87 文章分类： 漏洞分析,威胁情报,WEB安全,应急响应,安全运营

严重漏洞：UpdraftPlus CVE-2026-10795 利用代码针对数百万用户

sec随谈 sec随谈

sec随谈

2026年6月11日 09:07 北京

在小说阅读器读本章

去阅读

网络安全专家近期发现了一项针对 WordPress 网站的重大威胁。具体而言，黑客正在积极利用 UpdraftPlus 插件中的严重漏洞 CVE-2026-10795。该危险漏洞影响全球超过三百万个活跃安装站点。此外，安全研究人员观察到大规模攻击正在实时发生。事实上，Wordfence 报告称”在过去 24 小时内拦截了 4,987 次针对该漏洞的攻击”。因此，网站管理员必须立即更新系统，以防止站点遭到全面入侵。

一位名为 vtim 的专职安全研究员最初发现了这一严重漏洞。凭借负责任的漏洞披露，他们获得了 5,200.00 美元的丰厚奖励。目前，整个安全社区正在争分夺秒地修复存在风险的系统。

深入了解身份验证绕过漏洞

UpdraftPlus 插件提供出色的备份和远程管理工具。然而，其 UpdraftCentral 集成模块存在严重缺陷。该漏洞在软件处理加密远程过程调用时被触发。因此，未经身份验证的攻击者可以完全绕过标准安全检查。根据安全公告，”该漏洞允许未经身份验证的攻击者以已连接管理员的身份执行任意远程过程调用（RPC）”。这意味着黑客可以轻松地将恶意插件直接上传到服务器。

密码验证失败的根本原因

开发人员将根本原因追溯到一个密码学验证错误。远程通信库在每次页面加载时注册了一个无需身份验证的监听器。随后，系统未能验证关键的解密步骤。若攻击者提供格式错误的密钥，软件将退回至不安全状态。具体而言，传入 false 值会导致系统”退化为使用全零 AES-128 密钥的确定性加密”。攻击者随即可在本地加密自己的恶意指令，而存在漏洞的服务器将在无需真实密钥的情况下接受这些伪造消息。

保护您的 WordPress 安装

归根结底，UpdraftPlus CVE-2026-10795 漏洞可导致网站被完全接管。攻击者利用 RPC 功能触发文件上传命令，将恶意 ZIP 文件直接写入活动磁盘，系统随后自动激活新插件，黑客由此迅速获得任意 PHP 及操作系统命令执行权限。

幸运的是，开发团队迅速发布了全面的安全补丁，通过添加严格的返回值检查修复了存在缺陷的函数。您必须立即将 UpdraftPlus 插件更新至最新修补版本。因此，更新软件仍然是抵御当前持续性高强度网络攻击的最有效防御手段。

参考链接：

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/updraftplus/updraftplus-wp-backup-migration-plugin-1264-unauthenticated-authentication-bypass-via-updraftcentral-udrpc

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《严重漏洞：UpdraftPlus CVE-2026-10795 利用代码针对数百万用户》