CVE-2026-4401WordPress Download Monitor插件在5.1.10及之前版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于`class-dlm-downloads-path.php`文件中的`actions_handler()`和`bulk_actions_handler()`方法缺少nonce验证机制。未经身份验证的攻击者可利用此漏洞,诱导网站管理员点击恶意链接,从而在管理员不知情的情况下执行删除、禁用或启用已批准下载路径的操作。该漏洞利用需要用户交互,成功利用可能导致网站下载管理功能受损,影响系统的完整性和可用性。
该漏洞的核心在于WordPress Download Monitor插件未对关键管理功能实施有效的CSRF防护。在受影响版本的`class-dlm-downloads-path.php`文件中,`actions_handler()`和`bulk_actions_handler()`这两个处理函数负责处理下载路径的批量操作和单个操作。正常情况下,WordPress通过nonce(Number Used Once)机制来验证请求来源的合法性,防止跨站请求伪造。然而,这两个函数在接收和处理POST或GET请求参数时,未包含对nonce token的检查步骤。因此,攻击者可以构造恶意的HTML页面或电子邮件,其中包含指向目标WordPress站点管理后台的特定请求URL。当具有管理权限的用户在已登录状态下访问该恶意页面时,浏览器会自动携带用户的会话Cookie发送请求。由于缺少nonce验证,服务器会误认为该请求是管理员本人发起的合法操作,从而执行攻击者预设的指令,如删除关键的下载路径或禁用现有路径,破坏站点资源的可用性。