CVE-2025-67467CVE-2025-67467是WordPress插件GiveWP中的一个中危跨站请求伪造(CSRF)漏洞。该漏洞存在于GiveWP插件4.13.1及以下版本中,由于插件在处理某些操作时缺乏有效的CSRF令牌验证,攻击者可以诱导已登录的管理员或用户执行非预期的操作。GiveWP是一款流行的WordPress捐赠和筹款插件,广泛应用于各类非营利组织和慈善机构的网站中。该漏洞的CVSS评分为5.4,属于中等严重程度,主要影响在于攻击者可以通过社工手段诱导用户点击恶意链接,从而在用户不知情的情况下执行捐赠相关的敏感操作,如修改捐款设置、创建或删除捐赠表单等。由于该漏洞不需要认证即可发起攻击,且攻击复杂度较低,因此建议用户尽快升级到最新版本以修复此安全问题。
该CSRF漏洞存在于GiveWP插件的多个AJAX处理函数中。攻击者可以通过构造恶意HTML页面或链接,诱导已登录的WordPress管理员或GiveWP用户访问。当用户访问攻击者精心设计的页面时,浏览器会自动向目标网站的相同域发送HTTP请求。由于浏览器会自动携带用户的会话Cookie,服务器会认为这是用户的合法操作请求。GiveWP插件在处理这些请求时未正确实现CSRF令牌验证机制,导致攻击者可以绕过身份验证执行管理员操作。攻击者可能利用此漏洞执行以下操作:1) 修改捐赠表单配置;2) 创建新的捐赠活动;3) 更改支付网关设置;4) 导出捐赠者数据等。攻击成功的关键在于用户必须保持登录状态且访问了恶意链接。