CVE-2025-12578CVE-2025-12578是WordPress平台Reuters Direct插件中的一个跨站请求伪造(CSRF)漏洞。该插件用于在WordPress网站上集成路透社新闻内容。漏洞存在于插件的设置页面(class-reuters-direct-settings.php)中,由于缺少正确的nonce验证机制,攻击者可以构造恶意请求诱骗网站管理员执行非预期的操作。攻击者只需精心设计一个链接或网页,诱使已登录的管理员点击,即可触发设置重置等敏感操作。此漏洞虽然不直接导致代码执行或数据泄露,但可能破坏网站配置,影响新闻内容的正常展示,且常被用于进一步的攻击链中。由于CVSS评分为4.3(中等),对系统机密性和可用性影响较低,但对完整性有一定影响,需要管理员交互才能触发,因此属于中危漏洞。
该漏洞的根本原因在于WordPress插件的CSRF保护机制不完善。在WordPress安全架构中,nonce机制是防止CSRF攻击的核心手段,开发者需要在处理敏感操作时验证请求中的nonce值。然而,Reuters Direct插件在class-reuters-direct-settings.php文件中的设置保存和重置功能未能正确实现这一验证。具体来说,当管理员访问插件设置页面并提交表单时,服务器端代码未检查请求中是否包含有效的wpnonce参数,或者验证逻辑存在缺陷。攻击者可以利用这一弱点,构造一个包含恶意参数的POST或GET请求,诱骗已登录的管理员访问。当管理员点击攻击者提供的链接时,浏览器会自动携带该域名下的Cookie向目标站点发送请求,服务器因缺少nonce验证而认为这是合法的管理员操作,从而执行攻击者预设的设置重置命令。攻击者可能利用此漏洞修改插件配置,破坏新闻内容集成功能,或将其作为社交工程攻击的一部分。