免费扫描
MEDIUMCVE-2026-22359CVSS 4.3

WordPress Wordpress Movies Bulk Importer 插件 <= 1.0 - 跨站请求伪造 (CSRF) 漏洞

平台

wordpress

组件

movies-importer

修复版本

1.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月
在NVD查看
保存

CVE-2026-22359 描述了 AA-Team Wordpress Movies Bulk Importer 中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作,可能导致数据泄露或系统篡改。此漏洞影响 Movies Bulk Importer 版本 n/a 到 1.0 之间。目前已发布补丁,建议尽快更新。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

CSRF 漏洞允许攻击者冒充合法用户,执行任何该用户有权执行的操作。在 Movies Bulk Importer 的上下文中,攻击者可能利用此漏洞创建、修改或删除电影数据,或者更改其他配置设置。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来利用此漏洞。由于 Movies Bulk Importer 通常用于管理电影信息,因此攻击者可能能够访问敏感数据或破坏网站的功能。该漏洞的潜在影响包括数据泄露、网站篡改和用户账户被盗。

利用背景

该漏洞已于 2026 年 1 月 22 日公开披露。目前没有已知的公开利用程序 (POC),但由于 CSRF 漏洞的普遍性,存在被利用的风险。建议密切监控 Movies Bulk Importer 实例,以检测任何可疑活动。该漏洞尚未被添加到 CISA KEV 目录。

哪些人处于风险中翻译中…

Websites utilizing the AA-Team Wordpress Movies Bulk Importer plugin, particularly those with a large user base or that handle sensitive movie data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially impact others.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r 'AA-Team Movies Bulk Importer' /var/www/html/
wp plugin list | grep 'Movies Bulk Importer'

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=movies_bulk_importer_action&param=malicious_param | grep -i 'csrf token'

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.01% (0% 百分位)

CISA SSVC

利用情况none
可自动化no
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N4.3MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionRequired是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityNone敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
需要 — 受害者必须打开文件、点击链接或访问特制页面。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
无 — 无机密性影响。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件movies-importer
供应商wordfence
影响范围修复版本
n/a – <= 1.01.0.1

弱点分类 (CWE)

CWE-352

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期
未修复 — 披露已122天

缓解措施和替代方案

由于没有提供修复版本,缓解措施至关重要。首先,实施严格的输入验证和输出编码,以防止恶意数据注入。其次,在所有关键操作上实施 CSRF 令牌验证,确保只有授权用户才能执行这些操作。此外,考虑使用内容安全策略 (CSP) 来限制网站可以加载的资源,从而降低 CSRF 攻击的风险。最后,定期审查 Movies Bulk Importer 的配置,确保其安全设置正确。

修复方法

没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-22359 — CSRF 在 AA-Team Movies Bulk Importer 中?

CVE-2026-22359 是 AA-Team Wordpress Movies Bulk Importer 中的跨站请求伪造 (CSRF) 漏洞,允许攻击者在用户不知情的情况下执行未经授权的操作。

我是否受到 CVE-2026-22359 在 AA-Team Movies Bulk Importer 中影响?

如果您正在使用 AA-Team Movies Bulk Importer 的版本 n/a 到 1.0,则您可能受到此漏洞的影响。

我如何修复 CVE-2026-22359 在 AA-Team Movies Bulk Importer 中?

由于没有提供修复版本,请实施缓解措施,例如输入验证、CSRF 令牌验证和内容安全策略 (CSP)。

CVE-2026-22359 是否正在被积极利用?

目前没有已知的公开利用程序,但存在被利用的风险。建议密切监控您的系统。

在哪里可以找到 AA-Team 官方的 Movies Bulk Importer 针对 CVE-2026-22359 的公告?

请访问 AA-Team 的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE