CVE-2025-68583CVE-2025-68583是WordPress平台Fast User Switching插件中的一个跨站请求伪造(CSRF)漏洞。该漏洞由PatchStack安全团队发现,CVSS评分4.3,属于中等严重程度。Fast User Switching插件允许WordPress管理员快速切换用户身份,方便进行权限测试和用户管理。然而,该插件在关键操作处缺少适当的CSRF令牌验证机制,攻击者可以通过构造恶意请求链接,诱导已登录的管理员点击,从而在管理员不知情的情况下执行用户切换等敏感操作。由于攻击利用需要管理员交互,且主要影响数据完整性,因此CVSS向量中机密性和可用性影响为无/低,但完整性影响为低。
该CSRF漏洞存在于Fast User Switching插件的用户切换功能中。攻击者精心构造一个包含恶意参数的HTML页面或链接,当管理员访问该页面或点击链接时,浏览器会自动携带管理员的认证Cookie向目标WordPress站点发送请求。由于插件后端未正确验证请求的来源和有效性(缺少CSRF token验证),服务器会认为这是管理员的合法操作并执行用户切换。攻击者可以利用此漏洞冒充任意用户身份进行操作,获取敏感信息或执行特权操作。攻击成功的前提是管理员处于登录状态且被诱导访问恶意链接。