CVE-2026-1051CVE-2026-1051是WordPress Newsletter插件中的一个跨站请求伪造(CSRF)安全漏洞。该插件是一款流行的WordPress邮件订阅管理工具,被广泛应用于各类WordPress网站以发送新闻邮件。漏洞存在于hook_newsletter_action()函数中,由于缺少正确的nonce验证机制,攻击者可以构造恶意请求诱骗已登录的管理员或用户点击链接,从而在用户不知情的情况下执行取消订阅等敏感操作。漏洞影响范围涵盖9.1.0及以下所有版本。攻击者无需认证即可发起CSRF攻击,但需要诱导已登录用户进行交互操作。虽然该漏洞不会直接导致数据泄露或服务器被入侵,但可被用于骚扰用户、破坏用户体验,以及在某些场景下可能作为更大攻击链的一部分。CVSS 3.1评分4.3属于中等严重程度,主要风险在于用户交互要求和攻击复杂度相对较低。建议网站管理员及时更新插件至最新版本,并在等待修复期间采取临时缓解措施。
该CSRF漏洞的根本原因在于WordPress Newsletter插件的hook_newsletter_action()函数未能正确实施WordPress的nonce安全机制。Nonce是WordPress用于验证请求来源合法性的安全令牌,确保请求确实来自网站自身的表单而非来自恶意第三方站点。在受影响的版本中,hook_newsletter_action()函数处理订阅者操作时(如取消订阅、确认订阅等),没有对请求中的nonce值进行验证或验证不正确。攻击者可以构造一个包含恶意参数的HTTP请求,诱骗已登录的WordPress用户(通常是管理员或具有订阅管理权限的用户)访问。当用户点击攻击者精心设计的链接时,浏览器会自动携带用户的认证Cookie向目标站点发送请求。由于浏览器会自动发送同源Cookie,服务器会认为这是一个合法的已认证用户请求,从而执行攻击者指定的 unsubscribe(取消订阅)操作。漏洞代码位置位于插件目录的unsubscription/unsubscription.php文件第141行附近。攻击者可利用此漏洞批量取消订阅用户,对网站的邮件营销功能造成破坏。