CVE-2025-12587CVE-2025-12587是WordPress Peer Publish插件中的一个跨站请求伪造(CSRF)漏洞。该插件在所有版本(直至并包括1.0版本)中存在此安全缺陷。漏洞的根本原因是在网站管理页面缺少正确的nonce验证机制。攻击者可以利用此漏洞,通过诱骗管理员点击恶意链接,在管理员不知情的情况下执行添加、修改或删除网站配置的操作。由于该插件用于管理网站配置,成功的CSRF攻击可能导致攻击者劫持网站管理功能,添加恶意网站配置或篡改现有设置。此漏洞无需认证即可发起攻击,但需要管理员用户交互(如点击链接),因此CVSS评分仅为4.3(中危)。建议插件用户尽快采取防御措施,避免遭受此类攻击。
该漏洞存在于Peer Publish插件的网站管理功能中,具体位于admin/admin-pages/newwebsite.php和admin/admin-pages/websites.php文件。问题在于这些页面在处理表单提交时未实施足够的CSRF保护措施。正常情况下,WordPress插件应使用wp_verify_nonce()函数验证请求中的nonce值,以确保请求来源于合法的管理界面。然而,该插件的网站管理页面缺少此验证,导致攻击者可以构造恶意请求。当管理员被诱骗访问包含恶意请求的页面(如包含自动提交表单的HTML页面或JavaScript代码)时,浏览器会自动携带管理员的Cookie向目标站点发送请求。由于请求携带了有效的认证Cookie,服务器会认为这是管理员的合法操作,从而执行攻击者预设的添加、修改或删除网站配置操作。攻击者可以利用此漏洞在管理员不知情的情况下修改插件配置,可能导致网站功能被滥用或配置被恶意篡改。