免费扫描
MEDIUMCVE-2026-39639CVSS 4.3

CVE-2026-39639: Unauthorized Access in RPS Include Content

平台

wordpress

组件

rps-include-content

在NVD查看
保存

CVE-2026-39639 描述了 WordPress RPS Include Content 插件中的一个未授权访问漏洞。该漏洞允许具有贡献者级别或更高权限的经过身份验证的攻击者执行未经授权的操作。该漏洞影响所有版本小于等于1.2.2的插件。建议用户尽快升级到修复版本或实施缓解措施。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

攻击者可以利用此漏洞执行未经授权的操作,例如修改或删除内容,或者访问敏感数据。由于该漏洞要求攻击者已通过身份验证,因此攻击者通常需要先获得对WordPress站点的访问权限。然而,一旦获得访问权限,攻击者就可以利用此漏洞来进一步提升其权限并执行恶意活动。此漏洞的潜在影响包括数据泄露、网站篡改和潜在的系统破坏。虽然攻击者需要贡献者权限,但如果攻击者能够获得这种权限,则后果可能严重。

利用背景

该漏洞已于2026年2月14日公开披露。目前没有已知的公开利用程序 (POC),但由于漏洞的性质,存在被利用的风险。该漏洞的 EPSS 得分为中等,表明存在被利用的可能性。建议用户密切关注安全公告和更新,并及时采取缓解措施。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.03% (8% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityNone敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
无 — 无机密性影响。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件rps-include-content
供应商wordfence
最高版本1.2.2

弱点分类 (CWE)

CWE-862

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是升级到修复版本。由于没有提供修复版本,建议用户禁用 RPS Include Content 插件,或者限制对插件功能的访问。此外,实施严格的访问控制策略,确保只有授权用户才能访问敏感数据和功能。监控 WordPress 站点的活动,以检测任何可疑行为。如果无法立即升级,请考虑使用 Web 应用防火墙 (WAF) 来阻止潜在的攻击尝试。

修复方法

没有已知补丁可用。 请深入审查漏洞的详细信息并根据组织的风险承受能力采取缓解措施。 最好卸载受影响的软件并找到替代方案。

常见问题

什么是 CVE-2026-39639 — 未授权访问漏洞在 RPS Include Content 中?

CVE-2026-39639 是 WordPress RPS Include Content 插件中发现的一个漏洞,允许具有贡献者权限的攻击者执行未经授权的操作,影响版本小于等于1.2.2。

我是否受到 CVE-2026-39639 在 RPS Include Content 中影响?

如果您正在使用 WordPress 且安装了 RPS Include Content 插件的版本小于等于 1.2.2,则您可能受到此漏洞的影响。请立即检查您的插件版本。

如何修复 CVE-2026-39639 在 RPS Include Content 中?

由于没有提供修复版本,建议禁用插件或限制其功能。请密切关注官方更新。

CVE-2026-39639 是否正在被积极利用?

目前没有已知的公开利用程序,但存在被利用的风险。建议用户采取预防措施。

在哪里可以找到官方 RPS Include Content 针对 CVE-2026-39639 的公告?

请访问 WordPress 插件目录或 RPS Include Content 官方网站,查找有关此漏洞的公告。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描
live免费扫描

立即扫描您的WordPress项目 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...