CVE-2025-13521CVE-2025-13521是WordPress WP Status Notifier插件中的一个跨站请求伪造(CSRF)漏洞。该插件用于在WordPress网站上通知状态变更,但在1.0及以下所有版本中,设置更新功能存在严重的安全缺陷。由于缺少正确的nonce验证机制,攻击者可以构造恶意请求,诱骗已登录的管理员用户执行非预期的操作。攻击者需要诱导管理员点击特制的链接或访问包含恶意表单的网页,利用管理员的已认证会话执行插件设置更新操作。虽然CVSS评分仅为4.3(中危),但此漏洞可被用于修改插件配置,可能导致网站功能异常或被进一步利用。漏洞由Wordfence安全团队于2026年1月7日披露,建议所有使用该插件的用户及时采取防护措施。
该漏洞存在于WP Status Notifier插件的options-page.php文件中,具体位于设置更新功能部分。问题根源是缺少或错误的CSRF token(nonce)验证。在WordPress插件开发中,正确的CSRF防护需要在表单中添加wp_nonce_field()生成的token,并在处理请求时使用wp_verify_nonce()进行验证。该插件在处理settings update功能时未能正确实现这一验证机制。攻击者可以创建一个包含隐藏表单的恶意网页,当管理员访问或点击链接时,浏览器会自动向目标网站的插件设置端点发送POST请求。由于浏览器会自动携带目标网站的cookies,服务器会认为这是来自管理员的合法请求。攻击者可以借此修改插件的任何设置,如通知邮箱、状态阈值等配置。漏洞利用的关键条件是:攻击者需要能够诱骗管理员点击恶意链接,且管理员在点击时必须保持登录状态。