CVE-2026-32342CVE-2026-32342是WordPress插件Ays Pro Quiz Maker中的一个跨站请求伪造(CSRF)漏洞。该漏洞存在于插件的quiz-maker功能中,攻击者可以通过构造恶意的Web请求,诱骗已登录的管理员或用户在不知情的情况下执行非预期的操作。由于该插件广泛应用于WordPress网站,攻击者可能利用此漏洞修改Quiz设置、创建或删除测试题目,甚至可能进一步利用进行钓鱼攻击或数据篡改。CVSS评分4.3属于中等严重程度,攻击复杂度低,无需特殊权限,但需要用户交互。漏洞影响范围涵盖Quiz Maker 6.7.1.2及以下所有版本,建议用户尽快升级到最新版本以修复此安全问题。
跨站请求伪造(CSRF)是一种攻击技术,攻击者利用用户已认证的身份诱骗浏览器发送非预期的请求。在Ays Pro Quiz Maker插件中,由于缺乏适当的CSRF令牌验证,攻击者可以构造包含恶意参数的HTML表单或链接,当受害者访问时,浏览器会自动携带其Cookie发送请求。攻击者通常会创建钓鱼邮件或嵌入恶意代码的网页,诱导用户点击链接。该漏洞主要影响插件的以下功能:Quiz创建和编辑、题目管理、用户答案提交等。由于WordPress后台管理界面缺乏对关键操作的CSRF保护,攻击者可以远程修改Quiz配置、添加恶意内容或窃取用户数据。建议在所有状态变更操作中添加CSRF token验证,并验证请求来源。