AlexMihailEngineer/CVE-2026-11784-Optimole-CSRF

# CVE-2026-11784：Optimole WordPress 插件中由 CSRF 导致的任意文件覆盖 ## 摘要 WordPress 的 Optimole 插件（版本 <= 4.2.5）中存在一个跨站请求伪造 (CSRF) 漏洞。由于缺乏 nonce 验证，未经身份验证的攻击者可以通过 `wp_ajax_optml_replace_file` AJAX 操作静默覆盖现有的媒体库资源。 - **CVE ID**：CVE-2026-11784 - **漏洞类型**：跨站请求伪造 (CSRF) - **受影响插件**：Optimole – Optimize Images - **修复版本**：4.2.6 - **发现者**：Alexandru Bucur ## 技术分析 该漏洞存在于 `inc/attachment_edit.php` 文件的 `Optml_Attachment_Edit::replace_file()` 方法中。虽然该函数使用 `current_user_can('edit_post', $id)` 实现了授权检查，但完全省略了显式的 anti-CSRF token 验证 (`check_ajax_referer`)。 ### 图像验证绕过 简单的 CSRF 攻击如果直接传入文本字符串作为模拟图像会失败，因为 WordPress 会使用 GD Graphics Library / ImageMagick 例程来验证图像的完整性。为了实现有效的 PoC，exploit payload 会在提交 multipart 表单之前，通过 JavaScript `Uint8Array` 和 Base64 字符串以编程方式构造一个数学上合理的 1x1 JPEG 二进制文件。 ## 概念验证 exploit 脚本可在 `/exploit` 目录中找到。 ## 影响 - **数据完整性丢失**：高价值的媒体元素（如 logo、文档）可能会被覆盖。 - **XSS 升级**：如果目标媒体类型允许 SVG 或可执行代码执行向量，这很容易演变成完整的存储型跨站脚本攻击，并导致网站被完全接管。 ## 时间线 - **2026 年 5 月 14 日**：初步发现并提交。 - **2026 年 6 月**：验证并分配 CVE-2026-11784。 - **2026 年 6 月**：公开披露。

标签：CSRF, Web安全, WordPress, 后端开发, 安全漏洞, 数据可视化, 蓝队分析