平台
wordpress
组件
minify-html-markup
修复版本
2.1.13
CVE-2026-3191描述了WordPress Minify HTML插件中的跨站请求伪造(XSRF)漏洞。该漏洞允许未经身份验证的攻击者通过伪造请求更新插件设置,从而可能导致站点配置被恶意修改。该漏洞影响Minify HTML插件的0.0.0到2.1.12版本。已发布安全补丁,建议用户尽快升级到2.1.13版本。
攻击者可以利用此XSRF漏洞,通过诱使用户点击恶意链接,从而在用户不知情的情况下更新Minify HTML插件的设置。这可能导致网站的HTML压缩设置被更改,影响网站性能或引入恶意代码。攻击者可能利用此漏洞篡改网站的HTML结构,导致用户体验下降或被重定向到恶意网站。由于该漏洞无需身份验证,攻击者可以大规模扫描WordPress网站,寻找存在此漏洞的插件实例。
该漏洞已公开披露,并被分配了CVE编号CVE-2026-3191。目前尚未观察到大规模的利用活动,但由于漏洞易于利用且无需身份验证,存在被攻击者的利用的可能性。建议密切关注安全社区的动态,及时采取应对措施。
WordPress websites utilizing the Minify HTML plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'minify_html_menu_options' /var/www/html/wp-content/plugins/minify-html/includes/• wordpress / composer / npm:
wp plugin list | grep minify-html• wordpress / composer / npm:
wp plugin update minify-htmldisclosure
漏洞利用状态
EPSS
0.01% (2% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将Minify HTML插件升级到2.1.13或更高版本。如果无法立即升级,可以考虑禁用Minify HTML插件,或者限制对插件设置的访问权限。此外,实施严格的输入验证和输出编码策略,可以降低XSRF攻击的风险。建议使用WordPress提供的Nonce验证机制,确保所有对插件设置的请求都经过身份验证。
更新到 2.1.13 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-3191描述了WordPress Minify HTML插件中存在的跨站请求伪造(XSRF)漏洞,允许攻击者通过伪造请求更新插件设置。
如果您正在使用Minify HTML插件的版本低于2.1.13,则可能受到此漏洞的影响。请立即检查您的插件版本。
将Minify HTML插件升级到2.1.13或更高版本即可修复此漏洞。
目前尚未观察到大规模的利用活动,但由于漏洞易于利用,存在被攻击者的利用的可能性。
请访问Minify HTML插件的官方网站或WordPress插件目录,查找关于CVE-2026-3191的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。