CVE-2026-4133TextP2P Texting Widget WordPress插件在1.7及以下版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于imTextP2POptionPage()函数缺少nonce验证机制。攻击者可诱导管理员点击恶意链接,在未经身份验证的情况下篡改插件设置,包括API凭据、聊天窗口标题及消息等。尽管需要用户交互,但此漏洞仍可能导致网站功能异常或敏感配置泄露。
该漏洞位于插件处理设置更新的逻辑中。在文件inc/admin/im-textp2p-options.php中,第314行的表单未使用wp_nonce_field()生成安全令牌,且第7行的POST请求处理程序未调用check_admin_referer()或wp_verify_nonce()进行校验。这使得未经身份验证的攻击者能够构造特制的HTML页面,诱导已登录的管理员访问。一旦管理员触发请求,攻击者即可利用管理员的会话权限修改插件的所有设置,包括小部件标题、消息内容、API密钥、颜色配置及reCAPTCHA设置,从而破坏站点完整性。