MEDIUMCVE-2026-4068CVSS 4.3

向媒体添加自定义字段 <= 2.0.3 - 通过 'delete' 参数的自定义字段删除的跨站请求伪造

Q: 什么是 CVE-2026-4068 — XSRF 在 Add Custom Fields to Media 中？

CVE-2026-4068 是 WordPress 插件“Add Custom Fields to Media”中发现的一个跨站请求伪造 (XSRF) 漏洞，允许攻击者删除自定义媒体字段。

Q: 我是否受到 CVE-2026-4068 在 Add Custom Fields to Media 中影响？

如果您正在使用“Add Custom Fields to Media”插件的版本在 0.0.0 到 2.0.3 之间，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2026-4068 在 Add Custom Fields to Media 中？

请立即将“Add Custom Fields to Media”插件升级到 2.0.4 或更高版本。

Q: CVE-2026-4068 是否正在被积极利用？

目前尚未观察到大规模的利用活动，但存在被恶意利用的可能性。

Q: 在哪里可以找到官方 Add Custom Fields to Media 的关于 CVE-2026-4068 的公告？

请查阅插件开发者或 WordPress 官方安全公告以获取更多信息。

平台

wordpress

组件

add-custom-fields-to-media

修复版本

2.0.4

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-4068 是 WordPress 插件“Add Custom Fields to Media”中发现的一个跨站请求伪造 (XSRF) 漏洞。该漏洞允许未经身份验证的攻击者通过伪造请求删除自定义媒体字段，从而可能导致数据丢失或恶意配置。该漏洞影响版本 0.0.0 到 2.0.3 的插件，已于 2026 年 3 月 19 日公开。建议用户尽快升级到 2.0.4 版本以修复此安全问题。

影响与攻击场景

攻击者可以利用此 XSRF 漏洞通过构造恶意的 HTTP 请求，在 WordPress 后台未经授权地删除自定义媒体字段。这可能导致网站功能失效，例如，如果自定义字段用于存储重要的媒体元数据，删除这些字段可能会导致媒体文件无法正常显示或使用。更严重的后果是，攻击者可能利用此漏洞作为进一步攻击的跳板，例如，如果自定义字段存储了敏感信息，攻击者可能通过删除这些字段来隐藏其踪迹或破坏数据完整性。由于该漏洞无需身份验证，攻击者可以大规模扫描 WordPress 站点，寻找易受攻击的插件实例。

利用背景

该漏洞已公开披露，且存在潜在的利用风险。目前尚未观察到大规模的利用活动，但由于该漏洞无需身份验证，且攻击难度较低，因此存在被恶意利用的可能性。建议密切关注安全社区的动态，并及时采取相应的安全措施。该漏洞尚未被添加到 CISA KEV 目录。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.02% (3% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件add-custom-fields-to-media

供应商wordfence

影响范围修复版本

0.0.0 – 2.0.32.0.4

弱点分类 (CWE)

CWE-352

时间线

已保留2026-03-12
发布日期2026-03-19
修改日期2026-04-08
EPSS 更新日期2026-03-26

缓解措施和替代方案

修复此漏洞的首要措施是立即将“Add Custom Fields to Media”插件升级到 2.0.4 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：实施严格的 Web 应用防火墙 (WAF) 规则，以检测和阻止可疑的 XSRF 请求。限制 WordPress 后台的访问权限，只允许授权用户访问。审查插件的配置，确保没有不必要的自定义字段暴露。监控 WordPress 站点的访问日志，查找可疑的请求模式。升级后，请确认自定义媒体字段已正确保留，并且插件功能正常运行。

修复方法

更新到 2.0.4 版本，或更新的补丁版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-4068 — XSRF 在 Add Custom Fields to Media 中？