MEDIUMCVE-2026-34896CVSS 4.3

施工中、即将推出和维护模式 <= 2.1.1 - 跨站请求伪造 (Cross-Site Request Forgery)

Q: 什么是CVE-2026-34896 — XSRF漏洞在Under Construction, Coming Soon & Maintenance Mode插件中？

CVE-2026-34896是一个跨站请求伪造（XSRF）漏洞，影响到WordPress插件“Under Construction, Coming Soon & Maintenance Mode”的2.1.1及更早版本。攻击者可以诱骗管理员执行未经授权的操作。

Q: 我是否受到CVE-2026-34896在Under Construction, Coming Soon & Maintenance Mode插件中的影响？

如果您正在使用“Under Construction, Coming Soon & Maintenance Mode”插件的版本低于2.1.2，则您可能受到此漏洞的影响。请立即检查您的插件版本。

Q: 我如何修复CVE-2026-34896在Under Construction, Coming Soon & Maintenance Mode插件中？

升级到“Under Construction, Coming Soon & Maintenance Mode”插件的2.1.2版本或更高版本可以修复此漏洞。

Q: CVE-2026-34896是否正在被积极利用？

虽然目前尚未观察到大规模的利用活动，但由于XSRF漏洞相对容易利用，因此建议尽快采取缓解措施。

Q: 在哪里可以找到官方Under Construction, Coming Soon & Maintenance Mode插件关于CVE-2026-34896的公告？

请访问插件作者的官方网站或WordPress插件目录，以获取有关CVE-2026-34896的官方公告和更新信息。

平台

wordpress

组件

under-construction-maintenance-mode

修复版本

2.1.2

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

“Under Construction, Coming Soon & Maintenance Mode” WordPress插件存在跨站请求伪造（XSRF）漏洞，允许攻击者在未经过身份验证的情况下执行未经授权的操作。该漏洞源于函数中缺失或不正确的nonce验证。此漏洞影响所有版本，包括2.1.1及更早版本。已发布2.1.2版本修复此问题。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

攻击者可以利用此XSRF漏洞，通过诱骗网站管理员点击精心设计的恶意链接，从而执行未经授权的操作。例如，攻击者可以修改插件设置、添加恶意内容或执行其他管理员权限的操作。由于该插件通常用于创建维护页面或即将推出的页面，因此攻击者可能能够利用此漏洞篡改网站外观，或将用户重定向到恶意网站。如果网站管理员在受感染时登录，风险会更高，攻击者可能能够完全控制网站。

利用背景

该漏洞已公开披露，且存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于XSRF漏洞相对容易利用，因此建议尽快采取缓解措施。该漏洞尚未被添加到CISA KEV目录中。建议关注安全社区的动态，以获取最新的威胁情报。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告2 份威胁报告

EPSS

0.02% (5% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

这些指标意味着什么？

Attack Vector: 网络 — 可通过互联网远程利用，无需物理或本地访问。攻击面最大。
Attack Complexity: 低 — 无需特殊条件，可以稳定地利用漏洞。
Privileges Required: 无 — 无需认证，无需凭证即可利用。
User Interaction: 需要 — 受害者必须打开文件、点击链接或访问特制页面。
Scope: 未改变 — 影响仅限于脆弱组件本身。
Confidentiality: 无 — 无机密性影响。
Integrity: 低 — 攻击者可修改部分数据，影响有限。
Availability: 无 — 无可用性影响。

受影响的软件

组件under-construction-maintenance-mode

供应商wordfence

影响范围修复版本

n/a – 2.1.12.1.2

2.1.12.1.2

软件包信息

活跃安装数: 10K小众
插件评分: 4.6
需要WordPress版本: 5.0+
兼容至: 6.9.4

主页

弱点分类 (CWE)

CWE-352

时间线

已保留2026-03-31
发布日期2026-04-07
修改日期2026-04-15
EPSS 更新日期2026-04-14

披露后-21天发布补丁

缓解措施和替代方案

最有效的缓解措施是立即将“Under Construction, Coming Soon & Maintenance Mode”插件升级至2.1.2版本或更高版本。如果无法立即升级，可以考虑暂时禁用该插件，以防止进一步的攻击。此外，实施严格的输入验证和输出编码措施，可以降低XSRF攻击的风险。建议使用WordPress提供的nonce机制，确保所有敏感操作都经过身份验证。监控网站活动，查找可疑的请求，并定期审查插件配置。

修复方法

更新到 2.1.2 版本，或更新的修复版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2026-34896 — XSRF漏洞在Under Construction, Coming Soon & Maintenance Mode插件中？

CVE-2026-34896是一个跨站请求伪造（XSRF）漏洞，影响到WordPress插件“Under Construction, Coming Soon & Maintenance Mode”的2.1.1及更早版本。攻击者可以诱骗管理员执行未经授权的操作。

我是否受到CVE-2026-34896在Under Construction, Coming Soon & Maintenance Mode插件中的影响？

如果您正在使用“Under Construction, Coming Soon & Maintenance Mode”插件的版本低于2.1.2，则您可能受到此漏洞的影响。请立即检查您的插件版本。

我如何修复CVE-2026-34896在Under Construction, Coming Soon & Maintenance Mode插件中？

升级到“Under Construction, Coming Soon & Maintenance Mode”插件的2.1.2版本或更高版本可以修复此漏洞。

CVE-2026-34896是否正在被积极利用？

虽然目前尚未观察到大规模的利用活动，但由于XSRF漏洞相对容易利用，因此建议尽快采取缓解措施。

在哪里可以找到官方Under Construction, Coming Soon & Maintenance Mode插件关于CVE-2026-34896的公告？

请访问插件作者的官方网站或WordPress插件目录，以获取有关CVE-2026-34896的官方公告和更新信息。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE