CVE-2025-62148CVE-2025-62148是WordPress插件robotstxt-rewrite中的一个跨站请求伪造(CSRF)安全漏洞。该插件用于重写网站的robots.txt文件内容,帮助网站管理员更好地控制搜索引擎爬虫的访问行为。漏洞存在于插件的特定功能中,攻击者可以通过构造恶意链接或网页,诱使已登录的管理员用户在不知情的情况下执行非预期的操作。由于该漏洞无需攻击者进行身份认证(PR:N),且需要用户交互(UI:R),攻击者利用难度中等。CVSS评分4.3,属于中危级别漏洞,主要影响网站的完整性和配置管理。
该CSRF漏洞存在于robotstxt-rewrite插件版本<=1.6.1中。攻击原理是利用WordPress管理员已登录的身份,通过社工手段诱导管理员访问攻击者控制的恶意页面。该页面包含自动提交的表单或利用JavaScript自动发送的请求,目标指向WordPress管理后台的插件功能接口。由于浏览器会自动携带目标网站的Cookie信息,服务器无法区分请求是否来自合法操作。攻击成功后,攻击者可修改网站的robots.txt配置,可能导致搜索引擎爬虫访问受限路径、泄露敏感目录结构或绕过安全限制。此漏洞的利用条件为:1)管理员需处于登录状态;2)管理员需访问恶意链接或网页;3)浏览器需支持自动提交请求。