CVE-2026-4070WordPress插件Alfie – Feed Plugin在1.2.1及之前版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于`alfie_manage()`函数在处理删除操作时缺乏nonce验证机制。未认证的攻击者可通过诱导已登录的管理员访问恶意链接,利用其权限删除插件数据库表中的特定数据,破坏系统完整性。
漏洞核心在于WordPress插件Alfie – Feed Plugin的`alfie_manage()`函数未对关键操作实施nonce(一次性数字令牌)检查。在WordPress安全机制中,nonce用于防止CSRF攻击,确保请求是由用户在当前会话中主动发起的。然而,该插件在处理通过GET参数传递的'delete'指令时,直接执行删除逻辑而未验证请求来源的有效性。
攻击者可精心构造包含恶意删除请求的HTML页面或超链接。由于目标站点管理员此前已登录WordPress后台,其浏览器中存有有效的会话Cookie。当管理员被诱导访问攻击者构造的页面时,浏览器会自动附带Cookie向服务器发送请求。服务器收到请求后,因代码逻辑中缺少nonce校验环节,无法区分请求是管理员主动点击还是恶意伪造,从而误判为合法操作,进而执行SQL删除指令,清理`alfie_colindex`、`alfie_producten`、`alfie_reactions`及`alfie_searchproduct`表中的数据。此过程无需攻击者获取管理员账号密码,仅需社会工程学诱导用户交互即可成功利用,导致数据丢失。