CVE-2026-4138WordPress插件DX Unanswered Comments在所有版本(包括1.7及以下)中存在跨站请求伪造(CSRF)漏洞。该漏洞源于插件设置页面`dxuc-unanswered-comments-admin-page.php`缺少nonce验证机制。未经身份验证的攻击者可以通过诱导站点管理员点击恶意链接,伪造请求修改插件的设置项,从而篡改`dxuc_authors_list`和`dxuc_comment_count`等配置数据。
该漏洞的根本原因在于WordPress插件开发中未正确实施安全防护机制。在文件`dxuc-unanswered-comments-admin-page.php`的处理逻辑中,接收并处理POST请求以更新插件设置(如作者列表和评论计数)时,没有验证请求是否包含有效的WordPress nonce(一次性令牌)。Nonce机制是WordPress防止CSRF攻击的核心手段,用于验证请求的来源合法性。由于缺少此验证,攻击者可以构造一个恶意的HTML页面或电子邮件链接,利用已登录管理员的浏览器会话,向目标网站发送未经授权的POST请求。一旦管理员在保持登录状态下触发了该请求(例如点击了攻击者设计的链接),服务器将误认为是管理员本人的合法操作,从而执行设置修改操作,导致插件配置被恶意篡改。