CVE-2026-39621Spicethemes开发的SpicePress主题存在严重的跨站请求伪造(CSRF)漏洞。该漏洞允许未认证的攻击者诱导已登录的管理员执行恶意操作,进而利用管理员权限在Web服务器上上传Web Shell。此问题影响从早期版本至2.3.2.5及之前的所有版本。由于该漏洞利用了管理员的会话状态,一旦攻击者诱导成功,即可在服务器上执行任意代码,完全控制受影响的系统,造成数据泄露或服务中断等严重后果。
该漏洞产生的根本原因是SpicePress主题在处理关键功能(如插件安装或媒体文件上传)时,未对请求来源进行严格的CSRF令牌验证或Referer同源检查。攻击者可以精心构造一个恶意HTML页面,其中包含自动提交的表单,该表单的目标地址指向WordPress站点的 vulnerable endpoint(例如admin-ajax.php或主题设置页面)。当管理员在浏览器保持登录状态的情况下访问此恶意页面时,浏览器会自动附带有效的认证Cookie向服务器发送请求。由于服务器端缺乏有效的CSRF防御机制,它会将此跨站请求误认为是管理员本人的合法操作。利用这一机制,攻击者可以诱导管理员执行“安装插件”或“上传文件”等操作,实际上上传包含恶意PHP代码的Web Shell。一旦Web Shell成功部署,攻击者即可在服务器端执行任意系统命令,完全控制Web应用及服务器环境,导致极高的安全风险。