CVE-2026-4143WordPress插件Neos Connector for Fakturama在0.0.14及之前版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于处理设置更新的`ncff_add_plugin_page()`函数缺少nonce验证。未经过身份验证的攻击者可以通过诱导站点管理员点击恶意链接,利用伪造的请求修改插件设置,从而对网站造成潜在的安全风险。
该漏洞的核心原因在于WordPress插件开发过程中,未对关键状态修改操作实施必要的防CSRF机制。具体而言,在受影响版本的插件代码中(位于`neosconnectorforfakturama-admin.php`文件),负责处理插件设置更新的`ncff_add_plugin_page()`函数存在逻辑缺陷。该函数在接收用户提交的配置参数时,缺乏对请求来源合法性的校验,即未使用WordPress提供的`check_admin_referer`函数或验证`nonce` token。攻击者利用此漏洞,可以精心构造一个恶意的HTML页面或URL链接。该链接中包含了用于篡改插件关键配置的参数。当目标网站的WordPress管理员在已登录状态下点击攻击者发送的链接时,浏览器会自动携带管理员的身份凭证向服务器发起请求。由于服务器端未进行nonce验证,无法区分请求是由管理员本人主动发起还是由恶意页面伪造,从而执行了设置更新操作。