CVE-2026-4140WordPress插件Ni WooCommerce Order Export在3.1.6及以下版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于`ni_order_export_action()` AJAX处理函数缺少nonce验证,且在调用`update_option`更新设置时未验证用户权限。未经身份验证的攻击者可诱导管理员点击恶意链接,利用此漏洞修改插件配置,进而对网站完整性造成影响。
该漏洞位于插件处理AJAX请求的逻辑中。具体而言,当`page`参数被设置为`nioe-order-settings`时,`ni_order_export_action()`函数会调用`Ni_Order_Setting::page_ajax()`。在该方法内部,代码直接使用了`update_option('ni_order_export_option', $_REQUEST)`来更新插件设置。关键问题在于,这一过程完全缺乏对WordPress Nonce(一次性令牌)的验证,同时也未对当前用户的权限(如`manage_options`能力)进行检查。攻击者可以构造一个特制的HTML页面,包含指向`/wp-admin/admin-ajax.php`的恶意请求。如果已登录的管理员访问了该页面,浏览器会自动携带管理员的Cookie发送请求。由于服务器端未验证请求来源,恶意请求将被执行,导致插件设置被篡改。