概述

CVE-2025-12095是一个影响WordPress的Simple Registration for WooCommerce插件的高危漏洞，影响版本包括1.5.8及以下的所有版本。

漏洞描述

Simple Registration for WooCommerce插件存在跨站请求伪造(CSRF)漏洞，这是由于在includes/display-role-admin.php文件中的角色请求管理页面处理程序缺少nonce验证。这使得未经身份验证的攻击者能够通过伪造的请求批准待处理的角色请求，并提升用户权限，前提是攻击者能够诱骗站点管理员执行某些操作，例如点击链接。

漏洞详情

• 发布时间：2025年10月25日 上午6:15
• 最后修改：2025年10月25日 上午6:15
• 远程利用：是
• 漏洞来源：security@wordfence.com

CVSS评分

评分：8.8（高危） 版本：CVSS 3.1 攻击向量：网络 攻击复杂度：低 所需权限：无 用户交互：需要 影响范围：未改变 机密性影响：高 完整性影响：高 可用性影响：高

解决方案

• 更新WooCommerce插件至修复CSRF漏洞的版本
• 更新Simple Registration for WooCommerce插件
• 验证nonce验证是否正确实现

相关参考

• https://plugins.trac.wordpress.org/browser/woocommerce-simple-registration/tags/1.5.8/includes/display-role-admin.php#L132
• https://plugins.trac.wordpress.org/changeset/3383124
• https://www.wordfence.com/threat-intel/vulnerabilities/id/9c32fcaf-afc3-4493-8cd8-6f49bbe40c7b?source=cve

CWE关联

CWE-352：跨站请求伪造(CSRF)

攻击模式分类(CAPEC)

• CAPEC-62：跨站请求伪造
• CAPEC-111：JSON劫持（又称JavaScript劫持）
• CAPEC-462：跨域搜索时序
• CAPEC-467：跨站识别

漏洞时间线

2025年10月25日：收到来自security@wordfence.com的新CVE报告，添加了漏洞描述、CVSS v3.1评分、CWE分类和相关参考链接。