CVE-2026-8423WordPress 插件 JaviBola Custom Theme Test 在 2.0.5 及之前版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于选项页面缺少或不正确的 nonce 验证机制。未经身份验证的攻击者可利用此漏洞,诱导站点管理员点击恶意链接,从而伪造请求修改 `jbct_theme` 选项。成功利用后,攻击者可更改网站的活动主题,对站点完整性造成影响。
该漏洞的核心在于 JaviBola Custom Theme Test 插件在处理设置更新请求时,缺乏必要的安全校验机制。WordPress 系统通常依赖 Nonce(一次性数字)来验证表单提交或 AJAX 请求的来源合法性,从而防御跨站请求伪造(CSRF)攻击。在该受影响的插件版本中,用于更新 `jbct_theme` 选项的代码路径未对请求中的 nonce token 进行有效性检查。攻击者可以预先构造一个包含恶意 payload 的 HTTP 请求(例如 POST 请求),该请求旨在修改 WordPress 数据库中的选项值。由于漏洞允许无需认证即可发起网络攻击(AV:N/PR:N),攻击者可以将此请求嵌入在钓鱼网站或恶意邮件的链接中。当管理员在保持登录状态的情况下点击链接,浏览器会自动携带管理员的会话 Cookie 发送请求。服务器端因缺少 nonce 验证,无法区分请求是由管理员自愿发起还是被诱导触发的,进而执行更改活动主题的操作,导致站点外观被篡改。