CVE-2026-6294WordPress Google PageRank Display插件在1.4及以下版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于插件设置页面处理函数中缺少nonce验证。由于设置表单未包含wp_nonce_field(),且表单处理器在处理POST请求前未调用check_admin_referer()或wp_verify_nonce()进行校验,未经身份验证的攻击者可诱导已登录的管理员提交恶意请求,从而修改插件设置。
该漏洞的核心原因在于WordPress插件开发规范中Nonce(Number used once)机制的缺失。在受影响插件的gpdisplay_option()函数中,负责渲染设置页面的代码未调用wp_nonce_field()函数,导致生成的HTML表单中不存在用于验证请求合法性的安全令牌。相应地,在服务器端接收到POST请求并调用update_option()更新配置之前,代码也没有通过check_admin_referer()或wp_verify_nonce()进行必要的验证。攻击者可构造一个包含自动提交表单的恶意HTML页面,将目标参数(如显示样式)设置为恶意值。当管理员在已登录状态下访问该页面时,浏览器会携带管理员的Cookie自动发送请求,服务器因缺少验证而执行设置更改操作。