CVE-2026-39563Share This Image WordPress插件存在一个严重的缺失授权漏洞(CVE-2026-39563)。该漏洞源于插件未正确实施访问控制安全级别,导致未经身份验证的远程攻击者可以利用此缺陷绕过访问限制。受影响的版本范围从初始版本至2.12版本。攻击者无需用户交互即可通过网络利用此漏洞,可能导致系统完整性受损。尽管CVSS评分为中等,但仍建议管理员立即采取措施进行修复。
该漏洞属于访问控制失效类别,具体表现为WordPress插件“Share This Image”在处理特定功能请求时未进行充分的权限验证。根据CVSS向量分析,攻击复杂度低(AC:L),且无需任何权限(PR:N)和用户交互(UI:N)即可通过网络(AV:N)发起攻击。漏洞成因是开发人员在配置访问控制安全级别时出现错误,导致本应仅限管理员或授权用户访问的接口暴露给公开网络。攻击者可以通过构造特定的HTTP请求,直接调用插件内部的敏感功能。虽然漏洞主要影响完整性(I:L),可能导致未经授权的数据修改或配置篡改,但并未直接导致敏感信息泄露(C:N)或服务中断(A:N)。这种类型的漏洞通常出现在未对`current_user_can()`等权限检查函数进行正确调用的WordPress插件代码中。