CVE-2025-12827CVE-2025-12827是WordPress Top Friends插件中的一个跨站请求伪造(CSRF)漏洞。该插件是一款用于管理WordPress网站上好友关系的社交功能插件。在0.3及之前的所有版本中,由于top_friends_options_subpanel()函数缺少nonce验证机制,攻击者可以构造恶意请求,诱骗已登录的网站管理员点击钓鱼链接,从而在管理员不知情的情况下修改插件设置。攻击成功后,攻击者可利用该漏洞篡改插件配置,可能导致网站功能异常或被进一步利用。由于该漏洞利用需要管理员交互(点击链接),且CVSS评分仅为4.3,因此被评定为中危漏洞。建议网站管理员尽快更新插件至最新版本,并在点击外部链接时保持警惕。
该漏洞的根本原因在于WordPress插件的top_friends_options_subpanel()函数在处理用户请求时未实施适当的CSRF保护机制。WordPress推荐使用wp_verify_nonce()函数验证请求的合法性,但该插件完全缺少这一关键验证步骤。攻击者可以利用这一缺陷,构造包含恶意参数的表单或URL,当管理员访问时会自动向目标网站提交修改插件设置的请求。由于浏览器会自动携带目标网站的Cookie信息,服务器会认为这是来自已登录管理员的合法请求。攻击者通常通过社会工程学手段,如发送钓鱼邮件或在社交平台发布恶意链接,诱骗管理员点击。成功利用后,攻击者可修改插件配置,可能影响网站的社交功能或作为进一步攻击的跳板。