CVE-2025-12456CVE-2025-12456是WordPress平台Centangle-Team插件中的一个中等严重性安全漏洞,综合评分6.1。该漏洞存在于插件的所有版本中,最高至1.0.0版本。漏洞的核心问题在于两个方面:首先,插件存在跨站请求伪造(CSRF)漏洞,由于某个关键函数缺少或存在不正确的nonce验证机制,这使得未经身份认证的攻击者能够通过诱导网站管理员点击恶意链接来修改插件设置。其次,由于cai_name_color参数在输入时缺乏充分的输入清理(sanitization)和输出时缺少适当的转义(escaping),导致攻击者可以注入任意Web脚本代码,这些恶意脚本将以存储型XSS(Cross-Site Scripting)的形式存在于页面中。当用户访问包含注入代码的页面时,恶意脚本将自动执行,可能导致会话劫持、敏感信息窃取、恶意重定向等安全问题。由于该漏洞需要管理员用户交互(如点击链接)才能触发攻击,因此攻击复杂度相对较高,但仍对使用该插件的WordPress网站构成实质性威胁。
该漏洞的技术根源在于Centangle-Team插件inc_/cai_setting.php文件中的多个位置(第88、172、196行)以及Centangle-Team-Showcase.php文件第132行存在的安全缺陷。具体而言,插件在处理cai_name_color参数时未对用户输入进行充分的清理和验证,允许攻击者通过构造特定的payload来注入JavaScript代码。由于插件将该参数值直接存储到数据库并在后续页面渲染时未进行输出转义,恶意脚本将被永久保存在服务器端,任何访问相关页面的用户都会触发执行。从攻击向量来看,攻击者首先需要构造一个包含恶意表单的HTML页面,该表单自动向目标WordPress站点发送修改插件设置的请求。由于缺少CSRF token验证,服务器会接受这些来自伪造请求的参数。攻击者将包含XSS payload的值(如:onerror=alert(document.cookie))作为cai_name_color参数提交,当管理员访问受影响的页面时,恶意JavaScript代码将以网站管理员的权限执行,从而实现会话劫持、凭据窃取等攻击目的。