平台
wordpress
组件
add-polylang-support-for-customizer
修复版本
1.4.6
CVE-2026-22462 描述了 Add Polylang support for Customizer 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作,可能导致数据泄露或系统配置更改。该漏洞影响 Add Polylang support for Customizer 的 0 到 1.4.5 版本。建议用户尽快更新插件或采取缓解措施。
跨站请求伪造 (CSRF) 漏洞允许攻击者冒充已认证用户执行操作。在 Add Polylang support for Customizer 中,攻击者可以利用此漏洞修改网站配置、创建或删除语言,甚至可能影响网站的多语言功能。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来触发此漏洞。如果网站使用此插件处理敏感数据或执行关键操作,CSRF 漏洞的潜在影响将非常严重,可能导致数据泄露、服务中断或未经授权的访问。
CVE-2026-22462 于 2026 年 1 月 22 日公开披露。目前尚无公开的利用代码 (PoC),但 CSRF 漏洞通常容易被利用。建议密切关注安全社区的动态,并及时采取措施。
WordPress sites utilizing the Add Polylang support for Customizer plugin, particularly those with users who have administrative privileges or frequently interact with the plugin's settings, are at risk. Shared hosting environments where multiple users share the same WordPress installation are also more vulnerable.
• wordpress / composer / npm:
grep -r 'add_polylang_support_for_customizer' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep add_polylang_support_for_customizer• wordpress / composer / npm:
wp plugin update --alldisclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2026-22462 漏洞,首要措施是立即将 Add Polylang support for Customizer 插件更新至修复版本。如果无法立即更新,可以考虑实施一些临时缓解措施。例如,可以启用 WordPress 的 nonce 验证,或者使用 Web 应用防火墙 (WAF) 过滤掉可疑的 CSRF 请求。此外,建议审查网站的代码,确保所有用户操作都经过适当的验证和授权。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-22462 是 Add Polylang support for Customizer 插件中发现的跨站请求伪造 (CSRF) 漏洞,允许攻击者冒充用户执行未经授权的操作。
如果您正在使用 Add Polylang support for Customizer 插件的版本低于 1.4.5,则您可能受到此漏洞的影响。
建议立即将 Add Polylang support for Customizer 插件更新至最新版本。
目前尚无公开的利用代码,但 CSRF 漏洞通常容易被利用,建议密切关注安全动态。
请访问 Add Polylang support for Customizer 插件的官方网站或 WordPress 插件目录,查找相关安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。