CVE-2025-13360 CVSS 4.3 中危

CVE-2025-13360 WordPress Quantic Social Image Hover插件CSRF漏洞

披露日期: 2025-12-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-13360

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Quantic Social Image Hover WordPress插件

漏洞概述

Quantic Social Image Hover是WordPress的一个社交图片悬停分享插件。该插件在所有版本（直至1.0.8）中存在跨站请求伪造（CSRF）漏洞。漏洞的根本原因在于插件的设置更新功能缺少必要的nonce验证机制。攻击者可以利用此漏洞，通过构造恶意链接诱导已登录的网站管理员点击，从而在不知情的情况下更新插件设置。

技术细节

该漏洞源于插件tw-image-hover.php文件中设置更新功能的实现缺陷。代码在处理设置更新请求时未验证请求的来源合法性，攻击者可通过社工手段诱导管理员访问恶意链接，利用其已认证的身份执行未经授权的操作。这允许攻击者修改插件配置并注入恶意脚本到页面中。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意设置的CSRF PoC

STEP 2

步骤2

通过钓鱼邮件或社交工程诱导管理员点击

STEP 3

步骤3

管理员浏览器自动提交伪造请求

STEP 4

步骤4

插件设置被篡改，恶意代码注入成功

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

PoC代码展示了攻击者如何通过构造包含恶意参数的表单，利用管理员的认证会话来更新插件设置。攻击者需要诱导管理员点击该表单的提交按钮，从而在不知情的情况下执行设置更新操作。

影响范围

Quantic Social Image Hover <= 1.0.8

防御指南

临时缓解措施

立即升级插件至最新版本，或暂时禁用该插件直到可用更新发布

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表