CVE-2026-3772WordPress WP Editor插件在1.2.9.2及之前的所有版本中存在严重的跨站请求伪造(CSRF)漏洞。该漏洞是由于插件中的`add_plugins_page`和`add_themes_page`函数缺少必要的nonce验证机制所致。未经身份验证的攻击者可以通过诱导站点管理员点击特制的恶意链接,利用伪造的请求向站点发送恶意数据。这使得攻击者能够覆盖任意的插件和主题PHP文件,写入攻击者控制的代码。一旦文件被覆盖,攻击者即可在服务器上执行任意代码,导致网站完全沦陷。该漏洞CVSS评分为8.8,属于高危漏洞。
该漏洞的根本原因在于WordPress WP Editor插件在处理文件编辑和保存功能时,未遵循WordPress的安全开发规范,缺失了防止跨站请求伪造的Nonce(Number used once)校验。在WordPress中,任何执行状态改变操作的请求都应验证Nonce令牌,以确保请求是由合法用户主动发起的。然而,WP Editor插件在`add_plugins_page`(用于处理插件文件)和`add_themes_page`(用于处理主题文件)这两个核心函数中完全省略了这一检查。
攻击者利用这一缺陷,可以构建一个恶意的HTML页面,其中包含一个自动提交的表单,该表单的目标地址指向WP Editor的文件保存接口,且POST数据中包含恶意的PHP代码。当管理员在已登录状态下访问该页面时,浏览器会自动携带管理员的Session Cookie发送请求。由于服务器端没有验证Nonce,该请求被误认为是管理员的合法操作。攻击者利用此机制可以覆盖网站插件或主题目录下的任意PHP文件(例如插件的主文件或functions.php)。由于这些文件在WordPress运行时会被自动加载,攻击者写入的恶意代码(如Webshell)将被立即执行,从而获取服务器权限,实现远程代码执行(RCE)。