CVE-2025-62950CVE-2025-62950是WordPress插件Contest Gallery中的一个跨站请求伪造(CSRF)漏洞。该插件是一款流行的WordPress竞赛画廊插件,用于创建和管理各类在线竞赛活动。漏洞存在于插件的多个功能模块中,由于缺少对CSRF令牌的验证,攻击者可以诱导已登录的管理员用户点击恶意构造的链接,从而在不知情的情况下执行非预期的操作,如修改插件设置、添加或删除竞赛内容等。由于该漏洞需要用户交互才能触发,攻击复杂度较低但影响范围有限。此漏洞的CVSS评分为4.3,属于中等严重程度,主要影响的是数据的完整性,对系统的机密性和可用性影响较小。
跨站请求伪造(CSRF)是一种利用用户已认证的身份执行未授权操作的攻击方式。在Contest Gallery插件28.0.0及以下版本中,插件的某些关键功能(如竞赛管理、设置修改等)缺少适当的CSRF保护机制。攻击者可以创建一个包含恶意请求的网页,当已登录的管理员访问该页面时,浏览器会自动向目标WordPress站点发送携带有效会话Cookie的请求。由于WordPress验证的是Cookie而非请求来源的合法性,恶意请求会被当作合法操作执行。攻击者可以利用此漏洞执行添加恶意竞赛内容、修改插件配置、甚至通过社工手段获取更高权限等操作。防御此类漏洞需要在关键操作处添加CSRF Token验证,并确保Token的正确校验。