CVE-2026-6701WordPress插件addfreespace在0.1.3及以下版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于相关函数缺少必要的nonce验证机制,使得未经过身份验证的攻击者能够通过诱导站点管理员点击特制的恶意链接,利用管理员的权限伪造请求。成功利用该漏洞可导致插件设置被篡改,并在系统中注入恶意Web脚本,造成存储型跨站脚本攻击风险。
该漏洞的技术根源在于WordPress插件addfreespace在处理设置更新功能时,未实现或错误实现了nonce(一次性令牌)验证机制。在WordPress生态系统中,nonce是防止CSRF攻击的关键安全控件。通过分析源代码(如addfreespace.php及addfreespace_functions.php),发现处理敏感操作的函数直接接收用户输入并更新数据库选项,未验证请求是否由合法的用户操作发起。攻击者利用此缺陷,可以精心设计一个包含隐藏表单的恶意网页,该表单的目标地址指向插件设置接口,并携带用于注入恶意脚本的参数。一旦拥有管理员权限的用户在浏览器保持登录状态时访问此页面,浏览器将自动携带会话Cookie发送请求。由于服务器端缺乏nonce校验,请求被视为有效,导致恶意脚本被持久化存储在插件设置中,进而触发存储型XSS攻击,允许攻击者接管管理员会话。