CVE-2026-4141WordPress的Quran Translations插件在1.7及之前版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于插件设置页面处理函数`quran_playlist_options()`缺少nonce验证。攻击者可诱导站点管理员点击恶意链接,从而在未经身份验证的情况下修改插件设置,包括PDF显示、RSS、播客、媒体播放器链接、播放列表标题和代码等选项。
该漏洞的技术根源在于插件代码中`quran_playlist_options()`函数存在安全缺陷,具体位于`playlist.php`文件中。该函数负责处理插件设置页面的POST请求并调用`update_option()`更新配置。然而,在表单生成和处理过程中,开发者未使用`wp_nonce_field()`生成安全令牌,也未在处理请求前调用`wp_verify_nonce()`或`check_admin_referer()`进行令牌校验。这导致攻击者可以构造恶意的HTML页面或链接,诱导已登录的管理员访问。一旦管理员触发请求,浏览器会自动携带管理员的会话Cookie发送请求,服务器端因缺少验证而执行操作,导致插件配置被篡改。攻击者利用此漏洞可修改包括PDF、RSS、播客等显示选项在内的关键设置,虽然未直接获取服务器权限,但破坏了数据的完整性。