关键漏洞信息 漏洞名称: Change WP URL <= 1.0 - Cross-Site Request Forgery to Settings Update 漏洞类型: Cross-Site Request Forgery (CSRF) CVE编号: CVE-2020-1398 CVSS评分: 4.3 (Medium) 公开发布日期: January 27, 2026 最后更新日期: January 28, 2026 研究人员: Muhammad Nur Ibnu Hubab (Ibnu) - Pondok Teknologi 软件类型: Plugin 软件Slug: change-wp-url 是否已修复: No 修复措施: 暂无已知补丁,请参考漏洞详细信息并根据组织的风险承受能力采取缓解措施。可能最好卸载受影响的软件并寻找替代品。 受影响版本: <= 1.0 漏洞描述 Change WP URL插件在所有版本中(包括1.0)都容易受到跨站请求伪造的影响。这是由于在“change-wp-url”页面缺失或不正确的nonce验证导致。这允许未认证的攻击者通过伪造的请求更改WP登录URL,进而诱骗站点管理员执行点击链接等行为。 参考链接 plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org