CVE-2025-67625CVE-2025-67625是WordPress Trade Runner插件中的一个中等严重性跨站请求伪造(CSRF)漏洞。该插件由tmtraderunner开发,用于自动化交易执行功能。漏洞源于插件在处理关键操作时未实施充分的CSRF保护机制,允许攻击者通过诱导已登录管理员访问恶意构造的网页,利用其有效会话执行未经授权的操作。由于该插件涉及金融交易功能,CSRF漏洞可能被滥用于修改交易配置、执行恶意交易策略或窃取交易敏感信息。攻击成功需要目标用户处于登录状态并访问攻击者控制的页面,属于客户端利用场景,对系统可用性和机密性影响较低,但可能对数据完整性造成一定威胁。
该CSRF漏洞存在于Trade Runner插件版本3.14及以下版本的管理功能中。漏洞根源在于插件未正确实现同源策略验证和CSRF Token检查机制。攻击者可构造包含恶意表单的HTML页面,当已登录的管理员访问时,浏览器会自动向目标WordPress站点发送已认证的请求。攻击流程包括:攻击者创建包含自动提交表单的网页,表单目标指向WordPress管理端点,参数设置为恶意交易指令。由于浏览器会自动携带目标域的Cookie,WordPress会认为这是合法管理员操作。攻击者可利用此漏洞执行修改交易参数、删除交易规则、添加恶意交易策略等操作。建议通过以下方式修复:在所有状态变更操作中添加CSRF Token验证;实施SameSite Cookie属性;使用WordPress nonce机制验证请求来源;在管理面板添加操作确认机制。