CVE-2025-58999CVE-2025-58999是WordPress插件WP Attractive Donations System中的一个中危跨站请求伪造(CSRF)漏洞。该插件是一款用于接受Stripe和PayPal捐赠的WordPress插件,版本从n/a到1.25均受影响。攻击者可以借助社会工程手段,诱骗已登录的管理员用户访问恶意网页,从而在不知情的情况下执行未经授权的操作。由于该插件可能涉及捐赠资金处理等敏感功能,CSRF漏洞可能导致攻击者以管理员身份修改插件设置、篡改捐赠表单配置或执行其他管理操作,对网站安全和用户资金安全构成潜在威胁。漏洞CVSS评分为4.3,属于中等严重程度,主要由于攻击需要用户交互且对机密性和完整性影响较低。
跨站请求伪造(CSRF)是一种利用用户已认证身份的攻击方式。在WP Attractive Donations System插件中,管理员在进行关键操作(如保存捐赠设置、修改支付配置等)时,缺少对请求来源的验证机制。攻击者可以构造一个恶意网页,包含自动提交的表单,该表单模拟管理员的合法请求。由于浏览器会自动携带目标网站的Cookie,服务器无法区分这是管理员的真实操作还是攻击者伪造的请求。攻击者需要诱骗已登录的管理员访问恶意页面,JavaScript代码会自动触发表单提交。整个攻击过程对用户透明,管理员可能完全不知情。成功利用后,攻击者可修改插件配置、变更支付设置,甚至可能影响捐赠资金流向。