CVE-2026-42645Dmitry V.开发的WordPress插件“Barcode Scanner with Inventory & Order Manager”存在跨站请求伪造(CSRF)漏洞。该漏洞影响1.11.0及以下版本。由于缺乏有效的令牌验证机制,攻击者可诱导管理员点击恶意链接,在受害者不知情的情况下以管理员身份执行操作。虽然需要用户交互,但成功利用可能导致数据完整性受损,CVSS v3.1评分为4.3,属于中危风险。
该漏洞源于插件在处理敏感业务逻辑(如库存变动、订单管理等)时,未能正确实施跨站请求伪造(CSRF)防护机制。具体而言,受影响版本的插件在后端关键接口缺少对CSRF Token(Nonce)的校验,或校验逻辑存在缺陷。攻击者利用这一缺陷,可诱导具有管理权限的受害者访问精心构造的恶意网页。该网页包含自动提交的HTML表单或JavaScript代码,目标地址指向插件的后台API。当受害者在已登录状态下浏览该网页时,浏览器会自动附带有效的身份凭证(Cookie)向服务器发送请求。由于服务器无法区分请求的合法来源,导致攻击者能以受害者身份执行未授权操作,从而破坏数据的完整性。