CVE-2025-59131CVE-2025-59131是WordPress插件WP-CalDav2ICS中的一个高危安全漏洞,CVSS评分达到7.1。该漏洞属于跨站请求伪造(CSRF)结合存储型跨站脚本(Stored XSS)的复合型漏洞。WP-CalDav2ICS插件主要用于将CalDAV日历数据转换为ICS格式,方便用户在WordPress网站上集成和管理日历事件。该插件在处理用户输入时缺乏适当的CSRF防护机制和输入验证,导致攻击者可以构造恶意请求,在受害者访问包含恶意脚本的页面时自动执行,从而窃取用户会话信息、劫持管理员账户或进行其他恶意操作。由于该XSS为存储型,恶意脚本会永久保存在服务器端,影响所有访问相关页面的用户,具有广泛的传播性和严重的危害性。WordPress作为全球使用最广泛的内容管理系统之一,该插件的漏洞可能影响大量使用该插件进行日历管理的网站。
该漏洞源于WP-CalDav2ICS插件在处理用户提交的数据时存在两个关键安全问题:
1. CSRF防护缺失:插件未实现有效的CSRF token验证机制,允许攻击者诱导已登录用户执行非预期的操作。WordPress插件应使用wp_nonce_field()和wp_verify_nonce()函数来生成和验证随机数,但该插件未遵循这一安全实践。
2. 存储型XSS漏洞:由于缺乏输入过滤和输出转义,攻击者可以在插件的设置或数据处理功能中注入恶意JavaScript代码。这些恶意代码会被永久存储在数据库中,当其他用户访问相关页面时,浏览器会执行这些脚本。
攻击者利用此漏洞的方式是构造一个包含恶意JavaScript的表单,并通过社会工程学手段诱导已登录的管理员或用户访问。恶意脚本可以:
- 窃取用户Cookie和会话信息
- 劫持用户账户
- 修改网站内容
- 植入后门程序
- 横向移动攻击其他用户
该漏洞影响版本从n/a至1.3.4,攻击复杂度低,无需特殊权限,但需要用户交互(UI:R),攻击向量为网络(AV:N)。