漏洞速览
- 漏洞编号:
CVE-2026-4283 - 风险评分:
9.1(严重) - 首次披露:2026-03-23
- 最近更新:2026-03-24
- 软件类型:插件
- 软件标识:
shapepress-dsgvo - 受影响版本:<= 3.1.38
- 修复版本:3.1.39
- 是否已修复:是
漏洞详情
WordPress 的 WP DSGVO Tools (GDPR) 插件在 3.1.38 及以下所有版本中存在未授权账户销毁漏洞。问题源于 super-unsubscribe AJAX 操作接受来自未登录用户的 processnow 参数,绕过了预期的邮件确认流程,直接触发不可逆的账户匿名化操作。攻击者只需提交受害者的邮箱地址并设置 processnow=1,即可永久销毁任意非管理员用户账户(密码被随机化、用户名和邮箱被覆盖、角色被剥离、评论被匿名化、敏感用户元数据被清除)。此外,该请求所需的 nonce 值可在任何包含 [unsubscribe_form] 短代码的页面上公开获取。
影响与风险
- 漏洞类型:Missing Authorization to Unauthenticated Account Destruction of Non-Admin Users
- 风险说明:漏洞可能被利用以执行未授权操作,建议按官方修复方案立即升级并复核安全配置。
- 研究人员:shark3y
修复建议
- 按官方建议执行修复:更新至 3.1.39 或更高已修复版本。
- 复核
administrator/shop manager等高权限账号与角色授权。 - 排查近期插件安装/配置变更记录,确认无异常写入。
- 建议配合 WAF 与登录审计,持续观察可疑请求。
