CVE-2026-6702WordPress插件Publish 2 Ping.fm在1.1及以下版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于'/wp-admin/options-general.php?page=admin.php'页面缺少或未正确执行nonce验证。未经过身份验证的攻击者可以通过诱导站点管理员点击恶意链接,利用伪造的请求更新插件设置。由于设置更新过程缺乏安全检查,攻击者可借此注入恶意Web脚本,导致存储型跨站脚本攻击(XSS),从而在管理员浏览器中执行恶意代码,窃取敏感信息或接管会话。
该漏洞的核心在于WordPress插件开发中常见的安全缺失:未对关键管理操作进行CSRF令牌验证。在受影响的插件代码中(特别是admin.php文件),处理设置更新的逻辑直接接收并处理POST或GET请求,而没有检查check_admin_referer或验证nonce字段。攻击者首先构建一个恶意的HTML页面,其中包含一个指向目标站点/wp-admin/options-general.php?page=admin.php的隐藏表单。该表单的参数被设置为攻击者想要修改的配置(例如,将某个字段设置为包含JavaScript代码的字符串)。当管理员(已登录WordPress)访问此恶意页面时,浏览器会自动携带管理员的会话Cookie提交表单。由于服务器端未验证请求来源的合法性,设置被更新。如果更新的设置被直接输出到页面且未经过滤,之前注入的JavaScript代码将在管理员下次访问插件页面时执行,实现持久化攻击。