台北畜產運銷股份有限公司 網站目錄瀏覽啟用及使用者資訊洩漏漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2026-00498
  •  發信 Vendor: 台北畜產運銷股份有限公司
  • Title: 台北畜產運銷股份有限公司 網站目錄瀏覽啟用及使用者資訊洩漏漏洞
  • Introduction: 該網站 WordPress 核心目錄 `/wp-includes/` 啟用了目錄瀏覽功能,暴露所有 WordPress 核心原始碼檔案,同時 REST API 未限制使用者列舉,導致管理員帳號資訊外洩

處理狀態

目前狀態

公開
Last Update : 2026/06/03
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2026/04/03 14:49:57 : 新提交 (由 Ianon 更新此狀態)
  • 2026/04/07 22:46:18 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/09 18:38:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/09 18:38:06 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/09 18:38:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/06/03 03:00:09 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2026-00498
  • 通報者:Ianon (Ianon)
  • 風險:高
  • 類型:資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://tplivestock.com.tw/wp-includes/
https://tplivestock.com.tw/wp-json/wp/v2/users
https://tplivestock.com.tw/xmlrpc.php

敘述

漏洞描述

經檢測發現 https://tplivestock.com.tw/wp-includes/ 啟用了 Apache/LiteSpeed 的目錄瀏覽功能(Index of),攻擊者可直接瀏覽 WordPress 核心目錄下的所有檔案與子目錄,包含數百個 .php 原始碼檔案。此外,WordPress REST API 的 /wp-json/wp/v2/users 端點未加任何存取限制,任何未認證的使用者均可取得完整的使用者清單,包含使用者名稱、ID、角色權限(是否為超級管理員)及 Gravatar 頭像連結。

網站使用 LiteSpeed Web Server,伺服器 IP 為 103.129.176.146。由檔案修改日期可推斷 WordPress 版本約為 6.7.x(最新檔案日期為 2025-12-03)。

重現步驟

1. 目錄瀏覽測試

  • 使用瀏覽器或 curl 存取 https://tplivestock.com.tw/wp-includes/
  • 伺服器回傳 HTTP 200 並顯示完整的目錄索引頁面
  • 可見所有子目錄(共 28 個)及 PHP 檔案(超過 200 個),包含檔案名稱、最後修改日期與檔案大小
HTTP/2 200
content-type: text/html; charset=UTF-8
server: LiteSpeed

目錄內容包含:

  • 28 個子目錄:abilities-api/, assets/, block-bindings/, blocks/, css/, js/, PHPMailer/, Requests/, SimplePie/, sodium_compat/
  • 超過 200 個 PHP 核心檔案:class-wpdb.php (116k), class-wp-xmlrpc-server.php (211k), class-wp-customize-manager.php (199k), deprecated.php (189k), formatting.php (347k), functions.php (282k) 等

2. 使用者列舉測試

  • 發送 GET 請求至 https://tplivestock.com.tw/wp-json/wp/v2/users
  • 伺服器回傳完整的使用者 JSON 資料,無需任何認證
[
  {
    "id": 1,
    "name": "admin",
    "slug": "admin",
    "is_super_admin": true,
    "avatar_urls": {...}
  },
  {
    "id": 6,
    "name": "家禽市場",
    "slug": "market",
    "is_super_admin": false,
    "avatar_urls": {...}
  },
  {
    "id": 8,
    "name": "畜產管理者",
    "slug": "ga",
    "is_super_admin": true,
    "avatar_urls": {...}
  }
]

3. XML-RPC 端點測試

  • 發送 POST 請求至 https://tplivestock.com.tw/xmlrpc.php
  • 端點存在且可存取,可用於暴力破解與 SSRF 攻擊

已洩漏之敏感資訊 / 漏洞利用結果

項目 內容 風險說明
目錄結構 完整的 /wp-includes/ 目錄清單,含 200+ 個 PHP 檔案 攻擊者可了解 WordPress 版本、已載入的元件,辅助尋找已知 CVE
管理員帳號 admin (ID: 1, super_admin), 畜產管理者 (ID: 8, super_admin) 攻擊者已知管理員使用者名稱,可進行針對性暴力破解
一般使用者 家禽市場 (ID: 6) 增加可用於登入嘗試的使用者清單
Gravatar Hash 每個使用者的 Gravatar MD5 hash 可用於交叉比對取得使用者電子郵件
WooCommerce 元資料 使用者的 WooCommerce 設定資訊 洩漏網站使用 WooCommerce 及其內部設定狀態
WordPress 版本推斷 檔案日期顯示最新版本為 2025-12-03 可對照 WordPress 發行紀錄推斷確切版本,尋找對應 CVE

影響

  • 攻擊者可利用目錄瀏覽取得 WordPress 核心檔案結構,搭配已知漏洞進行攻擊
  • 已知管理員帳號名稱 (admin, 畜產管理者) 大幅降低暴力破解難度
  • XML-RPC 啟用可能導致:
    • 暴力破解攻擊(wp.getUsersBlogs, wp.getUsers 等方法)
    • SSRF 攻擊(透過 pingback.ping 方法)
    • DDoS 放大攻擊
  • 攻擊者可利用 Gravatar hash 反查管理員真實電子郵件
  • 完整的檔案清單加上使用者資訊可組合成完整的攻擊鏈

修補建議

1. 停用目錄瀏覽
2. 限制 REST API 使用者列舉
3. 停用 XML-RPC(若不需要)

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;