CVE-2026-6401 in Bottom Bar Plugin信息

摘要

由 VulDB • 2026-05-20

WordPress 插件 Bottom Bar 在所有 0.1.7 及以下版本中存在跨站请求伪造（CSRF）漏洞。这是由于插件的设置更新表单（由 bottom-bar-admin.php 处理）中缺少 nonce 验证所致。三个设置表单（主设置、共享服务、恢复默认值）均未包含 wp_nonce_field()，且服务器端处理代码在处理 POST 数据及调用 update_option() 之前，从未调用 check_admin_referer() 或任何等效的 nonce 验证机制。这使得未经身份验证的攻击者能够诱使已登录的管理员提交精心构造的请求，从而更新插件配置选项，例如更改语言、最大文章计数或启用的共享服务。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Wordfence

预定

2026-04-15

披露

2026-05-20

管理

已接受

条目

VDB-364768

CPE

准备好

CWE

CWE-352 (已确认)

CVSS

4.3 (CNA)

EPSS

0.00026

KEV

否

活动

非常低

部门

Hostingprovider

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6401
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6401
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6401/

◂ 上一步一览下一步 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!