CVE-2025-48083CVE-2025-48083是WordPress wpNamedUsers插件中的一个跨站请求伪造(CSRF)漏洞,可导致存储型跨站脚本攻击(XSS)。该漏洞影响wpNamedUsers插件0.5及以下所有版本。攻击者可以通过构造恶意的CSRF请求,在受害者不知情的情况下注入恶意JavaScript代码。由于该XSS是存储型的,恶意代码会永久保存在服务器端,所有访问包含恶意内容页面的用户都会受到攻击。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。CVSS评分7.1,属于高危漏洞。虽然攻击复杂度较低,但需要用户交互(点击恶意链接),且对机密性、完整性和可用性均为低影响。
该漏洞存在于wpNamedUsers插件的用户名处理功能中。插件在处理用户输入时缺少CSRF令牌验证,允许攻击者诱导管理员或具有编辑权限的用户点击恶意链接,从而在用户列表中注入恶意脚本。攻击者利用CSRF漏洞绕过同源策略限制,以受害者的身份执行非预期的操作。由于缺少适当的输入验证和输出编码,恶意JavaScript代码会被存储在数据库中。当其他用户访问相关页面时,浏览器会执行这些恶意代码。攻击者可以窃取认证令牌、冒充合法用户执行操作或修改网站内容。修复方案需要在所有状态变更操作中添加CSRF令牌验证,并实施严格的输入验证和输出编码机制。