CVE-2025-13143CVE-2025-13143是WordPress平台上一款流行的投票、民调和测验制作插件的安全漏洞。该插件由Opinion Stage开发,被广泛应用于WordPress网站以创建交互式投票、调查问卷和测验内容。漏洞存在于插件的disconnect_account_action函数中,由于缺少或不足的CSRF令牌(nonce)验证机制,导致攻击者可以构造恶意请求,在未经身份验证的情况下断开网站与Opinion Stage平台服务的连接。攻击成功的前提是诱导网站管理员点击特定链接或访问包含恶意请求的网页。该漏洞的CVSS评分为4.3,属于中等严重程度,主要影响网站的集成功能可用性,而非直接造成数据泄露或服务器沦陷。
该漏洞属于典型的CSRF(跨站请求伪造)安全缺陷。在WordPress插件开发中,为了防止CSRF攻击,通常需要在关键操作函数中使用wp_verify_nonce()或wp_nonce_field()等函数验证请求的合法性。然而,Opinion Stage插件的disconnect_account_action函数未正确实现这一安全机制。攻击者可以构造一个包含disconnect_account_action调用的HTML页面或链接,当已登录的管理员访问该页面或点击链接时,浏览器会自动携带当前域的Cookie发送请求。由于插件未验证请求来源的合法性,攻击者的恶意请求将被执行,导致网站与Opinion Stage平台的连接被断开。漏洞代码位于Admin.php文件的第195-196行附近。该漏洞利用难度较低,无需认证即可发起攻击,但需要用户交互(管理员点击链接)才能成功。