CVE-2025-12412CVE-2025-12412是WordPress平台Top Bar Notification插件中的一个跨站请求伪造(CSRF)安全漏洞。该插件用于在WordPress网站顶部显示通知栏。漏洞源于tbn_ajax_add()函数缺少或存在不正确的nonce验证机制,导致攻击者可以在未经身份验证的情况下,通过构造恶意请求更新插件设置。攻击者需要诱导网站管理员点击特制链接,利用管理员的已登录会话执行操作。由于漏洞可被用于注入存储型XSS恶意脚本,一旦成功,攻击者可在管理员访问管理后台时执行任意JavaScript代码,可能导致会话劫持、权限提升或进一步横向移动。此漏洞影响该插件1.12及以下所有版本,CVSS评分6.1,属于中危级别。
该漏洞存在于Top Bar Notification插件的AJAX处理函数tbn_ajax_add()中。问题根源在于该函数未能正确实施WordPress的nonce安全验证机制。WordPress推荐使用wp_verify_nonce()函数验证请求来源的合法性,但该插件的tbn_ajax_add()函数要么完全缺少nonce验证,要么验证逻辑存在缺陷。攻击者可以构造一个包含恶意JavaScript代码的POST请求,诱骗已登录的管理员访问。由于浏览器会自动携带目标网站的Cookie,服务器会误认为该请求来自合法的管理员用户。攻击者可利用此漏洞修改插件配置,注入存储型XSS payload。当管理员访问插件设置页面或触发相关功能时,恶意脚本将执行。攻击者可能窃取管理员会话令牌、修改网站内容或提升权限。漏洞的技术根源在于插件开发时对CSRF防护的忽视,未遵循WordPress安全编码最佳实践。