CVE-2026-6401 in Bottom Bar Plugin
Сводка
по VulDB • 24.05.2026
Плагин Bottom Bar для WordPress уязвим к межсайтовой подделке запросов (CSRF) во всех версиях, начиная с 0.1.7 и включительно. Это связано с отсутствием проверки nonce в формах обновления настроек плагина, обрабатываемых в файле bottom-bar-admin.php. Ни одна из трех форм настроек (основные настройки, сервисы обмена, восстановление настроек по умолчанию) не включает вызов wp_nonce_field(), а код обработки на стороне сервера никогда не вызывает check_admin_referer() или любую другую эквивалентную проверку nonce перед обработкой данных POST и вызовом update_option(). Это позволяет неавторизованным злоумышленникам обмануть вошедшего в систему администратора, чтобы тот отправил специально сформированный запрос, который обновляет параметры конфигурации плагина, такие как изменение языка, максимальное количество записей или включенные сервисы обмена.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.