平台
wordpress
组件
quran-translations-by-edc
修复版本
1.7.1
1.7.1
CVE-2026-4141 是 WordPress Quran Translations 插件中的一个跨站请求伪造 (XSRF) 漏洞。此漏洞允许未经身份验证的攻击者通过修改插件设置来执行恶意操作,例如更改显示选项。该漏洞影响所有版本小于等于 1.7 的插件。建议用户尽快升级到最新版本以修复此问题。
攻击者可以利用此 XSRF 漏洞修改 Quran Translations 插件的配置,例如启用或禁用 PDF、RSS、播客和媒体播放器链接的显示。虽然直接的数据泄露风险较低,但攻击者可以通过修改插件设置来影响网站的功能和用户体验。如果攻击者能够控制网站的管理员账户,则可能进一步利用此漏洞进行更严重的攻击,例如篡改网站内容或执行恶意代码。此漏洞的潜在影响取决于插件在网站中的重要性和管理员账户的安全性。
该漏洞已公开披露,并被分配了 CVE-2026-4141。目前尚无公开的利用程序 (PoC),但由于 XSRF 漏洞的易利用性,存在被利用的风险。CISA 尚未将其添加到 KEV 目录。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress websites utilizing the Quran Translations plugin, particularly those running versions 1.7 or earlier, are at risk. Shared hosting environments where plugin updates are not consistently managed are also at increased risk, as are sites with weak access controls to the WordPress admin panel.
• wordpress / composer / npm:
grep -r 'quran_playlist_options' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=inactive | grep quran-translations• wordpress / composer / npm:
wp plugin list | grep quran-translationsdisclosure
漏洞利用状态
EPSS
0.01% (3% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2026-4141 漏洞,建议立即升级到最新版本的 Quran Translations 插件。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,并确保所有插件设置请求都包含有效的 nonce 验证。此外,建议定期审查 WordPress 插件的权限设置,并限制管理员账户的访问权限,以降低攻击者利用此漏洞的风险。在升级插件后,请确认插件设置已恢复到预期状态。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-4141 是 WordPress Quran Translations 插件中发现的跨站请求伪造 (XSRF) 漏洞,允许攻击者修改插件设置。
如果您使用的是 Quran Translations 插件版本小于等于 1.7,则可能受到此漏洞的影响。
建议立即升级到最新版本的 Quran Translations 插件。
目前尚无公开的利用程序,但由于 XSRF 漏洞的易利用性,存在被利用的风险。
请访问 WordPress 插件目录或 Quran Translations 插件的官方网站查找相关公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。