平台
wordpress
组件
merge-minify-refresh
修复版本
2.15
CVE-2026-24384 描述了 Merge + Minify + Refresh 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行恶意操作,例如修改网站配置或执行其他未经授权的动作。此漏洞影响 Merge + Minify + Refresh 插件的 0.0.0 至 2.14 版本。建议用户尽快升级至 2.15 版本以修复此安全问题。
CSRF 漏洞允许攻击者冒充合法用户,执行未经授权的操作。在 Merge + Minify + Refresh 的情况下,攻击者可能利用此漏洞修改网站的 JavaScript、CSS 或其他资源,从而篡改网站内容或重定向用户到恶意网站。攻击者还可以利用此漏洞执行其他恶意操作,例如修改网站配置或删除数据。由于 Merge + Minify + Refresh 插件负责优化网站性能,因此该漏洞可能导致网站被恶意利用,造成严重的安全风险。
目前尚未公开发现针对 CVE-2026-24384 的公开利用代码。该漏洞已添加到 CISA KEV 目录,表明其具有中等风险。建议密切关注安全社区的动态,并及时采取措施来保护您的网站。
WordPress websites utilizing the Merge + Minify + Refresh plugin, particularly those running older versions (0.0.0–2.14), are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if they haven't been updated to the latest version. Administrators and users with significant permissions within the WordPress site are at the highest risk.
• wordpress / composer / npm:
grep -r 'merge-minify-refresh' /var/www/html/wp-content/plugins/
wp plugin list | grep 'Merge + Minify + Refresh'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/merge-minify-refresh/ | grep Serverdisclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
修复 CVE-2026-24384 的主要方法是升级 Merge + Minify + Refresh 插件至 2.15 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤恶意请求,并实施严格的输入验证和输出编码策略。此外,建议启用 WordPress 的 CSRF 保护机制,并定期审查网站的权限设置,以确保只有授权用户才能执行敏感操作。升级后,请检查网站功能是否正常,确认漏洞已成功修复。
更新到 2.15 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-24384 是 Merge + Minify + Refresh 插件中发现的跨站请求伪造 (CSRF) 漏洞,允许攻击者冒充合法用户执行未经授权的操作。
如果您正在使用 Merge + Minify + Refresh 插件,且版本低于 2.15,则您可能受到此漏洞的影响。
升级 Merge + Minify + Refresh 插件至 2.15 或更高版本可以修复此漏洞。
目前尚未公开发现针对 CVE-2026-24384 的公开利用代码,但建议密切关注安全社区的动态。
请访问 Merge + Minify + Refresh 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的更多信息和官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。