CVE-2025-12404CVE-2025-12404是WordPress的Like-it插件中存在的一个跨站请求伪造(CSRF)漏洞。该漏洞影响该插件2.2及以下所有版本,源于likeit_conf()函数缺少或存在错误的nonce验证机制。攻击者可以利用此漏洞构造恶意请求,诱导已登录的网站管理员点击特制链接,从而在不知情的情况下更新插件设置并注入恶意Web脚本。由于WordPress插件通常以管理员权限运行,攻击成功后将可能导致存储型XSS攻击,影响所有访问该网站的用户。此漏洞无需认证即可发起,但需要管理员交互(点击链接)才能完成攻击。CVSS 3.1评分为6.1,属于中等严重程度,主要影响系统的完整性和机密性。
该漏洞的根本原因在于Like-it插件的likeit_conf()函数未正确实现WordPress的nonce安全验证机制。WordPress推荐使用wp_verify_nonce()函数验证请求来源,确保表单提交是由合法用户在本站点内发起。然而,该插件的likeit_conf()函数缺少必要的nonce检查,使得攻击者可以伪造请求并以管理员身份执行操作。攻击者需要构造一个包含恶意参数的表单,当管理员访问该表单时(通常通过钓鱼链接或社交工程),浏览器会自动提交表单到目标网站的wp-admin/admin-post.php或其他处理端点。由于浏览器会自动携带目标站点的Cookies,服务器会认为这是一个合法的管理员操作。成功利用后,攻击者可修改插件配置(如允许的HTML标签、CSS样式等),进而注入恶意JavaScript代码到页面中,实现存储型XSS攻击。