用户希望我总结一张关于WordPress漏洞的截图。 我需要提取以下关键信息: 1. 漏洞概述 (Summary/Description): 这是一个关于CSRF(跨站请求伪造)保护缺失的漏洞。具体来说,是在自定义用户删除功能中,没有验证CSRF令牌。这允许攻击者(如果已登录)永久删除配置,甚至可能删除整个组织。 2. 影响范围 (Affected Products): 截图显示受影响的插件是 ,版本范围是 。 3. 修复方案 (Recommendation/Fix): 建议修改 文件中的 函数,添加CSRF验证。 4. POC/利用代码: 截图中包含了一个完整的“Proof of Concept”部分,列出了具体的步骤和代码。我需要把这些代码块提取出来。 详细提取步骤: 标题: Missing CSRF Protection on Custom User Deletion in wpsso_function.php 描述: 在 中, 函数永久删除配置而不验证CSRF令牌。这允许攻击者(如果已登录)永久删除配置,包括组织设置。 受影响产品: wpsso 漏洞总结:wpsso 插件 CSRF 保护缺失 漏洞概述 在 插件的 文件中, 函数在处理自定义用户删除请求时,缺少 CSRF(跨站请求伪造)令牌验证。 风险: 攻击者如果已登录目标网站,可以伪造请求永久删除用户配置。 严重性: 这可能导致配置被永久删除,甚至可能导致整个组织(Organization)被删除。 影响范围 插件: 受影响版本: 修复方案 在 文件的 函数中添加 CSRF 验证逻辑。 建议代码: 使用 函数验证请求令牌。 漏洞代码 (Vulnerable Code) 位于 中,未验证 CSRF 即执行删除操作: POC / 利用代码 截图中提供了利用该漏洞的 Python 脚本和 HTML 表单示例。 Python 利用脚本: HTML 表单利用示例:** 修复后代码示例