CVE-2026-1877WordPress Auto Post Scheduler插件在1.84及以下版本中存在跨站请求伪造(CSRF)漏洞。因缺少nonce验证机制,未认证攻击者可诱导管理员点击特制链接,伪造请求修改插件设置并注入恶意脚本,导致敏感信息泄露或会话劫持。
该漏洞的核心在于WordPress插件`auto-post-scheduler.php`文件中的`aps_options_page`函数缺乏必要的Nonce(一次性数字令牌)验证机制。在WordPress架构中,Nonce用于验证请求来源的合法性,防止CSRF攻击。由于该函数直接处理POST或GET请求来更新插件选项,攻击者可以构建恶意的HTTP请求。当管理员在浏览器中保持登录状态时,若访问了攻击者精心构造的恶意页面或点击了恶意链接,浏览器会自动携带管理员的Cookie发送请求。服务器接收到请求后,因缺少Nonce校验,会误认为是管理员的合法操作并执行更新设置。结合插件允许在特定设置字段中输入HTML代码的特性,攻击者可注入持久化的恶意脚本,进而在后台执行任意JavaScript代码,窃取管理员凭证或进行恶意操作。