CVE-2025-68602: Scott Paterson ‘Accept Donations with PayPal’ 插件中的URL重定向到不可信站点（‘开放重定向’）漏洞

严重性： 中等 类型： 漏洞 CVE编号： CVE-2025-68602

描述 Scott Paterson开发的“Accept Donations with PayPal”插件（easy-paypal-donation）中存在URL重定向到不可信站点（“开放重定向”）漏洞，可导致钓鱼攻击。 此问题影响“Accept Donations with PayPal”插件的所有版本，从n/a到<= 1.5.1。

技术分析摘要 CVE-2025-68602标识了Scott Paterson开发的“Accept Donations with PayPal”WordPress插件中的一个开放重定向漏洞，影响所有版本直至并包括1.5.1。当应用程序接受用户控制的输入（该输入指定了操作后重定向用户的URL）而未进行适当验证时，就会发生开放重定向漏洞。在此案例中，该插件未能正确验证或限制重定向URL，使得攻击者能够制作看似合法但会将用户重定向到不可信外部站点的恶意URL。这可在钓鱼活动中被利用，攻击者发送看似来自可信捐赠站点的链接，却将受害者导向旨在窃取凭据或分发恶意软件的恶意页面。该漏洞不需要身份验证，从而增加了其风险，但确实需要用户交互点击恶意链接。尽管尚未报告在野的已知利用，但该漏洞已公开披露，可能成为攻击者的目标。缺乏CVSS评分表明该漏洞是新发布的，尚未得到全面评估。该插件通常被组织用于在其网站上促进PayPal捐赠，使其成为旨在损害捐赠者信任或为恶意目的重定向流量的攻击者的相关目标。

潜在影响 对于使用“Accept Donations with PayPal”插件的欧洲组织，如果捐赠者被重定向到钓鱼或恶意软件站点，此漏洞可能导致重大的声誉损害。如果攻击者利用重定向来获取凭据或支付详情，捐赠者信息的机密性可能受到威胁。捐赠过程的完整性受到破坏，可能导致财务损失或捐赠者不信任。可用性受到的影响较不直接，但用户信任和网站可信度可能受损，从而减少捐赠量。依赖在线捐赠的非营利组织和慈善机构尤其脆弱。此漏洞启用的钓鱼媒介也可在针对欧洲用户的更广泛社会工程活动中被利用。鉴于WordPress和PayPal捐赠插件在欧洲的广泛使用，潜在的影响规模相当大，特别是在慈善领域活跃且在线捐赠量高的国家。

缓解建议 组织应监控插件供应商的官方补丁，并在补丁可用后立即应用更新。在此期间，管理员可以通过修改插件代码或使用Web应用程序防火墙（WAF）来阻止可疑的重定向参数，从而实现对重定向URL的严格验证。教育用户和捐赠者对意外的重定向保持警惕，并在点击前验证URL。采用内容安全策略（CSP）等安全标头来限制仅导航到受信任的域。定期审计网站插件以查找漏洞，并移除或替换不再维护或打补丁的插件。考虑为管理访问实施多因素认证以降低插件篡改风险。最后，监控Web流量和日志，查找可能表明利用尝试的异常重定向模式。

受影响国家 英国、德国、法国、意大利、荷兰、西班牙、比利时、瑞典

技术细节

• 数据版本：5.2
• 分配者简称：Patchstack
• 日期预留：2025-12-19T10:20:05.496Z
• Cvss版本：null
• 状态：已发布

来源： CVE数据库 V5 发布日期： 2025年12月24日 星期三 （注意：正文中重复的技术摘要、潜在影响和缓解建议部分在最终翻译稿中已合并，以避免冗余，保持了原文核心信息的完整传递。）