CVE-2025-64262CVE-2025-64262是WordPress Auto Prune Posts插件中的一个跨站请求伪造(Cross-Site Request Forgery, CSRF)漏洞。该插件由ramon fincken开发,主要用于自动清理和删除WordPress网站中过期的文章或帖子。漏洞存在于插件的3.0.0及以下所有版本中,攻击者可以利用此漏洞诱导已登录的管理员用户在不知情的情况下执行非预期的操作,如删除文章、修改插件设置等。由于WordPress管理员具有较高的权限,CSRF攻击可能导致网站内容被意外删除或配置被篡改,对网站的完整性和可用性造成严重影响。攻击者通常通过社会工程学手段,如诱骗管理员点击恶意链接或访问包含恶意代码的网页,来实施CSRF攻击。
该CSRF漏洞源于Auto Prune Posts插件缺乏对重要操作的CSRF令牌验证。插件在处理自动修剪文章的请求时,未正确实现同源策略检查和请求来源验证。攻击者可以构造一个恶意HTML页面,包含自动提交的表单,该表单模拟插件的修剪操作请求。由于浏览器会自动携带目标网站的Cookie信息,当已登录的管理员访问恶意页面时,浏览器会发送带有有效会话Cookie的请求到目标WordPress站点。服务器无法区分这是合法管理员操作还是攻击者伪造的请求,从而执行攻击者预设的操作。漏洞影响插件的auto-prune-posts功能,攻击者可利用此漏洞强制删除指定文章、修改自动修剪规则或执行其他管理员操作。