【中危漏洞】CVE-2026-1051:WordPress Newsletter 插件存在 CSRF 漏洞
漏洞概述
WordPress 插件 “Newsletter – Send awesome emails from WordPress” 在 9.1.0 及之前所有版本中存在跨站请求伪造(CSRF)漏洞。该漏洞源于 hook_newsletter_action() 函数缺少或未正确验证 nonce,导致未经身份验证的攻击者可通过诱导已登录用户点击恶意链接,强制取消订阅邮件列表中的用户。
漏洞详情
- CVE 编号:CVE-2026-1051
- 漏洞类型:跨站请求伪造(CWE-352)
- CVSS 评分:4.3(中危)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N - 影响版本:Newsletter 插件 ≤ 9.1.0
影响范围
所有使用 WordPress Newsletter 插件且版本在 9.1.0 及以下的网站均受影响。该插件用于通过 WordPress 发送电子邮件通讯,广泛应用于博客、企业官网等场景。
风险分析
攻击者可构造恶意链接,诱使具有管理员或订阅管理权限的已登录用户点击,从而在用户不知情的情况下执行取消订阅操作。虽然该漏洞不直接导致远程代码执行或数据泄露,但可能被用于骚扰用户、破坏邮件列表完整性,或作为社会工程攻击的一环,损害网站运营者的声誉与用户信任。
修复建议
- 立即升级 Newsletter 插件至 9.1.1 或更高版本(若已发布),以获取官方修复补丁。
- 在官方更新前,可临时限制对相关取消订阅接口的访问,或通过 Web 应用防火墙(WAF)规则拦截可疑的 CSRF 请求。
