CVE-2026-39671该漏洞存在于Dotstore开发的WooCommerce Extra Fees插件(woo-conditional-product-fees-for-checkout)中。由于缺乏足够的CSRF保护机制,攻击者可以诱导已认证的管理员用户在不知情的情况下执行恶意操作。受影响的版本包括4.3.3及以下所有版本。成功利用此漏洞可能导致插件配置被篡改,进而影响电商网站的结账流程和费用计算,对网站完整性和可用性造成威胁。
CVE-2026-39671 是典型的跨站请求伪造(CSRF)漏洞。在Web应用中,CSRF利用了网站信任用户浏览器的特性。该Extra Fees插件在处理关键管理操作(如添加、修改或删除产品费用规则)时,未验证请求的来源是否合法,即缺少CSRF Token或Referer检查。攻击者可以构造一个恶意的HTML页面或链接,其中包含指向插件管理接口的HTTP POST请求。当管理员用户在登录状态下点击该链接或访问该页面时,浏览器会自动携带管理员的有效Session Cookie发送请求。由于服务器端无法区分请求是管理员主动发起还是由第三方站点伪造,因此会执行该操作,导致数据完整性受损或服务可用性下降。