CVE-2025-10376：WordPress Learndash课程重定向插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-10376

漏洞类型

跨站请求伪造（CSRF）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Course Redirects for Learndash插件

漏洞概述

CVE-2025-10376是WordPress平台上一款名为"Course Redirects for Learndash"的插件中存在的跨站请求伪造（Cross-Site Request Forgery, CSRF）安全漏洞。该插件主要用于在Learndash在线课程系统中实现课程页面重定向功能，允许管理员配置用户访问课程时的跳转规则。漏洞影响该插件所有版本，最高至0.4版本（含0.4版本）。该漏洞由WordPress安全团队Wordfence的安全研究员发现并报告，于2025年10月11日正式公开披露。根据CVSS 3.1评分体系，该漏洞获得4.3分的评分，属于中等严重等级。漏洞的核心问题在于插件设置页面处理表单提交时，未对请求进行Nonce（Number used once）验证机制。Nonce是WordPress中用于防止CSRF攻击的标准安全机制，通过在表单中嵌入一次性令牌来验证请求的合法性。由于该插件缺失这一关键防护层，使得未经身份验证的远程攻击者可以构造恶意请求，诱骗已登录的管理员点击特定链接或访问恶意页面，从而在管理员不知情的情况下修改插件的配置设置。尽管该漏洞需要管理员的交互操作才能触发（属于存储型或反射型CSRF），但由于WordPress站点管理员通常具有较高权限，攻击成功后可能导致课程重定向规则被恶意篡改，进一步影响站点的正常运营和用户体验。需要注意的是，该漏洞仅影响插件设置的完整性，对系统机密性和可用性影响有限。

技术细节

该漏洞的技术根源在于WordPress插件开发中常见的安全疏忽——未实施CSRF防护机制。在WordPress生态系统中，标准的CSRF防护通过Nonce机制实现：插件在渲染设置页面时生成一个唯一的Nonce令牌，并将其嵌入到表单的隐藏字段中；当表单提交时，服务器端会验证该Nonce令牌的有效性，确保请求来源于合法的用户操作。然而，Course Redirects for Learndash插件的redirect_course.php文件中（具体在第76行附近），处理表单提交的代码逻辑直接接收POST/GET参数并更新插件设置，完全跳过了wp_verify_nonce()或check_admin_referer()等关键验证函数。攻击者利用此漏洞的方式如下：首先，攻击者分析目标站点的插件设置页面，识别出用于修改重定向规则的参数名称（如redirect_url、course_id等）；然后构造一个恶意HTML页面，其中包含一个自动提交或隐藏的表单，该表单的action指向目标站点的插件设置处理URL，并填入恶意的重定向配置；接着通过社会工程学手段（如钓鱼邮件、即时消息等）诱骗已登录的目标站点管理员访问该恶意页面；当管理员访问时，浏览器会自动携带其会话Cookie提交表单，由于WordPress服务端无法区分该请求是用户主动操作还是伪造请求，因此会成功执行设置修改操作。攻击成功后，攻击者可以将课程重定向至恶意网站（用于钓鱼攻击或恶意软件分发）、破坏正常的课程访问流程，或为进一步渗透攻击建立跳板。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者使用WordPress指纹识别工具（如WPScan）扫描目标站点，确认是否安装了Course Redirects for Learndash插件及其版本信息，验证目标是否在受影响范围内（≤0.4版本）。

STEP 2

步骤2：分析插件参数

攻击者访问目标站点的插件设置页面，分析表单提交时使用的参数名称和提交地址，识别可被恶意篡改的设置项（如课程ID、重定向URL、重定向类型等）。

STEP 3

步骤3：构造恶意页面

攻击者创建一个包含CSRF表单的恶意HTML页面，表单的action指向目标站点的设置处理URL，并填入恶意的重定向配置（如将课程重定向至钓鱼网站或恶意页面）。

STEP 4

步骤4：社会工程诱导

攻击者通过钓鱼邮件、即时通讯工具或受感染的第三方网站等渠道，诱骗已登录目标站点的管理员点击链接或访问恶意页面。

STEP 5

步骤5：触发CSRF攻击

当管理员访问恶意页面时，浏览器自动携带其WordPress会话Cookie提交CSRF表单，由于插件未验证Nonce，服务端将该请求视为合法操作并执行设置修改。

STEP 6

步骤6：恶意重定向生效

插件设置被成功篡改后，所有访问相应课程页面的用户将被重定向至攻击者控制的恶意网站，可用于实施钓鱼攻击、恶意软件分发或进一步的信息窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
CVE-2025-10376 PoC - CSRF exploit for Course Redirects for Learndash plugin
Target: WordPress sites with Course Redirects for Learndash plugin <= 0.4
Description: This PoC demonstrates how an unauthenticated attacker can modify
plugin settings by tricking an authenticated administrator into visiting a
malicious page.
-->

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Loading...</title>
</head>
<body>
    <!-- Hidden iframe-based CSRF PoC -->
    <iframe style="display:none" name="csrf-frame"></iframe>
    <form id="csrf-form" action="http://target-wordpress-site.com/wp-admin/admin.php?page=course-redirects-for-learndash" method="POST" target="csrf-frame">
        <!-- Modify redirect settings - parameters may vary based on plugin version -->
        <input type="hidden" name="action" value="update_redirect" />
        <input type="hidden" name="course_id" value="1" />
        <input type="hidden" name="redirect_url" value="http://evil-site.com/malicious-page" />
        <input type="hidden" name="redirect_type" value="301" />
        <input type="hidden" name="submit" value="Save Changes" />
    </form>
    <script>
        // Auto-submit the form when the page loads
        document.getElementById('csrf-form').submit();
    </script>
    <!-- Alternative: Image-based CSRF for GET requests -->
    <!-- <img src="http://target-wordpress-site.com/wp-admin/admin.php?page=course-redirects-for-learndash&action=delete&course_id=1" style="display:none" /> -->
</body>
</html>

影响范围

Course Redirects for Learndash <= 0.4

防御指南

临时缓解措施

在官方修复版本发布之前，建议管理员采取以下临时缓解措施：1）限制插件设置页面的访问权限，仅允许受信任的IP地址访问WordPress后台；2）使用Web应用防火墙（WAF）规则阻止对插件设置页面的跨站POST请求；3）定期检查插件的配置设置，确保未被恶意篡改；4）启用WordPress的双因素认证（2FA），降低管理员账户被盗用的风险；5）暂时停用Course Redirects for Learndash插件，直到修复版本发布后再重新启用；6）监控网站日志，及时发现异常的设置修改行为。