CVE-2026-4094该漏洞影响WordPress的FOX – Currency Switcher Professional for WooCommerce插件。由于在所有版本(包括1.4.5及以下)的'admin_head'函数中缺少能力检查,导致未经授权的数据丢失风险。经过身份验证的攻击者(具有Contributor级别及以上权限)只需在访问wp-admin页面时附加`woocs_reset`参数,即可删除整个多货币配置。此外,由于未验证nonce,该漏洞还可通过跨站请求伪造(CSRF)被利用。
该漏洞的根源在于插件代码(classes/woocs.php)中的'admin_head'函数。该函数直接挂钩到WordPress的admin_head动作,但在处理逻辑中未对当前用户执行适当的能力检查(如`current_user_can`)。当用户访问后台管理页面时,如果请求URL中包含`woocs_reset`参数,插件会触发重置逻辑,导致多货币配置被清空。攻击者无需管理员权限,只需 Contributor 级别账号即可触发此逻辑。同时,由于操作过程中缺乏CSRF nonce验证,攻击者可以诱导管理员点击恶意链接,从而在管理员不知情的情况下以管理员身份执行删除操作。这种“权限缺失+CSRF”的组合极大地降低了攻击门槛。