CVE-2026-3331WordPress Lobot Slider Administrator 插件在 0.6.0 及之前版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于 `fourty_slider_options_page` 函数缺少或未正确进行 nonce 验证。未经过身份验证的攻击者可以通过诱导网站管理员点击恶意链接,利用伪造的请求修改插件滑块页面的配置,从而破坏网站内容的完整性。
该漏洞的核心原因在于 WordPress 插件开发中缺乏必要的安全校验机制。在 WordPress 生态系统中,为了防止跨站请求伪造(CSRF),开发者必须在处理敏感操作(如修改设置)的函数中加入 Nonce(Number used once)验证。Lobot Slider Administrator 插件的 `fourty_slider_options_page` 函数在处理配置更新请求时,完全缺失了这一验证步骤。攻击者利用这一缺陷,可以构建一个包含恶意 HTML 表单的网页。当具有管理权限的用户访问该页面时,浏览器会在用户不知情的情况下,利用用户当前的登录 Cookie 发送 HTTP 请求到目标 WordPress 站点。由于服务器端未校验请求来源的合法性(即未验证 Nonce),攻击者构造的请求会被服务器接受并执行,导致插件配置被恶意篡改。虽然攻击需要诱导用户交互,但一旦成功,可能影响网站展示内容的完整性。