漏洞总结:HTTP Headers 插件远程代码执行漏洞 漏洞概述 漏洞标题:HTTP Headers <= 1.19.2 - Authenticated (Administrator+) External Control of File Name or Path to RCE via 'hh_htpasswd_path' and 'hh_www_authenticate_user' Parameters CVE ID:CVE-2026-2717 CVSS 评分:7.2 (High) 发布日期:2026年4月21日 研究人员:Kai Arzen 漏洞描述:HTTP Headers 插件存在远程代码执行(RCE)漏洞。攻击者(需具备管理员及以上权限)可以通过控制 和 参数,利用 函数将任意内容(包括 PHP 代码)写入服务器上的任意文件路径,从而实现远程代码执行。 影响范围 软件名称:HTTP Headers (WordPress Plugin) 受影响版本:<= 1.19.2 软件类型:WordPress 插件 补丁状态:无已知补丁 (No) 修复方案 官方建议:目前尚无已知补丁。建议用户根据受影响软件的详细信息采取缓解措施,或卸载受影响的软件并寻找替代品。 参考链接: https://plugins.trac.wordpress.org/ (多个相关 Trac 链接) POC/利用代码 页面中未包含具体的 POC 代码块。 利用原理简述**:攻击者通过构造恶意请求,将包含 PHP 代码的内容写入服务器可执行文件(如通过 ),从而触发 RCE。具体利用依赖于插件内部对 和 参数的处理逻辑。