CVE-2025-14062 CVSS 4.3 中危

CVE-2025-14062 WordPress Animated Pixel Marquee Creator CSRF漏洞

披露日期: 2025-12-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-14062

漏洞类型

跨站请求伪造(CSRF)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Animated Pixel Marquee Creator WordPress插件

漏洞概述

Animated Pixel Marquee Creator是WordPress平台的一个动画像素跑马灯创作者插件。该插件在1.0.0及之前版本中存在严重的跨站请求伪造(CSRF)漏洞。漏洞源于管理员功能缺少nonce验证机制，攻击者可以利用社交工程手段诱使已登录的管理员点击恶意构造的链接，从而在用户不知情的情况下执行删除marquee的操作。由于该操作仅需管理员点击链接即可触发，攻击门槛较低，漏洞利用具有较高的现实威胁。

技术细节

漏洞存在于插件的marquee删除功能中，代码路径位于admin/marquees_list.php文件。问题代码在处理删除请求时仅检查用户权限，缺少CSRF令牌验证。攻击者构造包含marquee ID的POST或GET请求即可触发删除操作。由于WordPress管理员通常具有较高权限，此漏洞可导致站点内容被篡改，影响业务连续性。

攻击链分析

STEP 1

攻击者创建包含恶意删除请求的链接或网页

STEP 2

诱骗已登录的管理员点击该链接

STEP 3

浏览器自动发送带有管理员认证的删除请求

STEP 4

插件在无CSRF验证的情况下执行删除操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target_url = "http://target-wordpress-site.com"
marquee_id = 1

# 构造CSRF攻击请求
payload = {
    "action": "delete_marquee",
    "marquee_id": marquee_id
}

response = requests.post(f"{target_url}/wp-admin/admin.php?page=animated-pixel-marquee-creator", data=payload)
print(f"Status: {response.status_code}")

影响范围

Animated Pixel Marquee Creator <= 1.0.0

防御指南

临时缓解措施

临时禁用或删除Animated Pixel Marquee Creator插件，直到官方发布安全更新。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表