Frontend File Manager漏洞CVE-2026-5337

Frontend File Manager 是 WordPress 平台中一款文件上传下载管理插件，助力 WordPress 用户安全上传文件，默认仅管理员可访问。

一、基本情况

Frontend File Manager原名N-Media Frontend File Manager，默认仅管理员可访问，适合搭建客户网盘、用户提交端口、资料共享区。

Frontend File Manager 是 WordPress 专用前端多用户文件上传/下载/私有管理插件，免费版适合个人/小站，基础上传+私有管理够用。

栋科技漏洞库关注到 Frontend File Manager 在 23.6 及之前版本中存在的 IDOR 漏洞，现追踪为CVE-2026-5337，CVSS3.X评分6.5。

二、漏洞分析

CVE-2026-5337漏洞是 Frontend File Manager 插件受影响版本漏洞，插件在处理文件下载请求时未正确验证用户对文件的访问权限。

该漏洞源于 download 接口直接使用 file_id 参数访问文件，攻击者可以通过修改该参数访问其他用户（包括管理员）上传的任意文件。

具体来说，该漏洞愿意插件在处理文件下载请求时，未对目标上传文件做合法权限校验。

攻击者只需篡改下载接口file_id参数（示例：http://localhost/?do=wpfm_download&file_id=40&nm_file_nonce=a36fb893f1），

即可越权访问其他用户的上传文件，包含管理员等高权限账号的私有文件，造成站内敏感数据未授权读取。

经分析确认，拥有订阅者及以上权限的已认证攻击者，可发起不安全的直接对象引用（IDOR）攻击。

由于文件标识具备可预测性、自增序列特性，该漏洞利用门槛极低，攻击成功率大幅提升。

此缺陷属于访问控制失效漏洞，会引发敏感信息泄露，严重威胁系统数据保密性与完整性。

修复版本中通过添加文件所有权验证修复了该IDOR漏洞，但目前尚无明确修复版本发布。

三、POC概念验证

1、以管理员身份登录 WordPress。

2、新建页面，插入短代码：[ffmwp]。

3、使用管理员账号上传一份敏感或机密文件（如 secret.pdf）。

4、将鼠标悬浮在下载（向下箭头）图标上，右键选择复制链接地址，获取下载链接，示例：

http://localhost/?do=wpfm_download&file_id=40&nm_file_nonce=a36fb893f1

5、打开新浏览器或无痕窗口，使用低权限账号（如订阅者）登录。

6、访问此前创建的页面（示例：http://localhost:9001/?page_id=17）。

7、使用低权限账号上传普通文件（public.pdf）。

8、以相同方式复制该文件的下载链接，示例：

http://localhost/?do=wpfm_download&file_id=50&nm_file_nonce=c46fb895b2

9、修改链接内的 file_id 参数，将 50 替换为管理员文件的 40，在低权限用户会话中访问修改后的链接。

10、最终可成功下载管理员的机密文件，实现越权访问，证实该不安全直接对象引用（IDOR）漏洞存在。

四、影响范围

Frontend File Manager Plugin ≤ 23.6

五、修复建议

Frontend File Manager Plugin ≥ 23.6

六、参考链接

管理员已设置登录后刷新可查看