CVE-2026-6452WordPress插件Bigfishgames Syndicate在1.2及之前版本存在跨站请求伪造(CSRF)漏洞。该漏洞源于`bigfishgames_syndicate_submenu()`函数缺少nonce验证。未经身份验证的攻击者可诱导管理员点击恶意链接,利用管理员权限重置或更新插件设置。此漏洞风险等级为中危,需尽快修复以防止配置被篡改。
该漏洞的核心在于WordPress插件Bigfishgames Syndicate的`bigfishgames_syndicate_submenu()`函数未正确实施安全校验。在WordPress生态中,nonce机制是防止CSRF攻击的关键手段。由于该函数缺失nonce检查,攻击者可以构建恶意的HTML页面或URL,其中包含向插件设置页面提交数据的POST请求。当拥有管理权限的用户在已登录状态下访问攻击者构造的页面时,浏览器会自动附带用户的身份凭证(Cookie)发送请求。服务器端因缺乏校验,无法区分请求是由用户主动发起还是由恶意脚本诱导发起,从而执行了设置修改操作。攻击者无需获取管理员密码,即可利用此漏洞篡改插件配置,可能进一步导致网站功能异常或安全风险。