CVE-2025-14853CVE-2025-14853是WordPress插件"LEAV Last Email Address Validator"中的一个跨站请求伪造(CSRF)漏洞。该插件用于验证电子邮件地址,在1.7.1及之前版本中,display_settings_page函数存在缺少或错误的nonce验证问题。攻击者可以通过诱导网站管理员点击恶意链接,在管理员不知情的情况下修改插件设置。由于该漏洞不需要认证即可发起攻击,且攻击成功需要管理员交互(点击链接),因此CVSS评分为4.3,属于中等严重程度。攻击者利用此漏洞可以篡改插件配置,可能影响网站的电子邮件验证功能正常运行。
该漏洞存在于LEAV Last Email Address Validator插件的设置页面处理函数display_settings_page中。问题根源是缺少适当的WordPress nonce验证机制。WordPress推荐使用wp_verify_nonce()函数验证请求的合法性,防止CSRF攻击。在受影响的版本中,display_settings_page函数未能正确调用nonce验证或验证逻辑存在缺陷。攻击者可以构造一个恶意请求,诱使已登录的管理员浏览器自动发送该请求。由于浏览器会自动携带目标网站的Cookie,WordPress会认为这是来自合法管理员的请求。攻击者可以通过社工手段(如钓鱼邮件、恶意网页等)诱导管理员点击特制链接,从而在管理员不知情的情况下修改插件设置,包括可能禁用安全验证功能。