CVE-2025-13606：smackcoders Export All Posts, Products, Orders, Refunds & Users插件parseData函数跨站请求伪造漏洞

概述 近期发现smackcoders公司开发的WordPress插件“Export All Posts, Products, Orders, Refunds & Users”在2.19及之前版本中存在一个被标记为“有问题”的漏洞。该漏洞影响parseData函数，攻击者通过操纵可导致跨站请求伪造攻击。

此漏洞编号为CVE-2025-13606。攻击可以远程发起，目前暂无公开的漏洞利用程序。

详情 在WordPress平台上的smackcoders Export All Posts, Products, Orders, Refunds & Users插件（最高至2.19版本）中发现一个漏洞，已被声明为有问题。此漏洞影响parseData函数。对未知输入的操纵会导致跨站请求伪造漏洞。该漏洞的CWE定义为CWE-352。Web应用程序未能或无法充分验证一个格式正确、有效、一致的请求是否由提交请求的用户有意提供。已知其影响完整性。

CVE总结如下：

WordPress的Export All Posts, Products, Orders, Refunds & Users插件在2.19及之前的所有版本中容易受到跨站请求伪造攻击。这是由于parseData函数缺少或不正确的随机数验证。这使得未经身份验证的攻击者有可能通过伪造的请求（前提是他们能诱骗站点管理员执行诸如点击链接之类的操作），将敏感信息（包括用户数据、电子邮件地址、密码哈希和WooCommerce数据）导出到服务器上由攻击者控制的文件路径。

安全公告可在wordfence.com下载。此漏洞被命名为CVE-2025-13606。利用此漏洞似乎比较容易。攻击可以远程发起。成功的利用不需要任何形式的身份验证。成功利用需要受害者进行用户交互。已知存在技术细节，但暂无公开的漏洞利用程序。目前没有已知的缓解措施信息。可能建议使用替代产品替换受影响的对象。条目VDB-295468和VDB-301451非常相似。

产品信息

• 类型： WordPress插件
• 供应商： smackcoders
• 名称： Export All Posts, Products, Orders, Refunds & Users Plugin
• 版本： 2.0, 2.1, 2.2, 2.3, 2.4, 2.5, 2.6, 2.7, 2.8, 2.9, 2.10, 2.11, 2.12, 2.13, 2.14, 2.15, 2.16, 2.17, 2.18, 2.19

CVSS评分

• CVSS v4： VulDB向量和可靠性信息（已锁定）
• CVSS v3：
  • VulDB元基础分数：5.4
  • VulDB元临时分数：5.3
  • VulDB基础分数：4.3
  • VulDB临时分数：4.2
  • VulDB向量和可靠性信息（已锁定）
  • CNA基础分数：6.5
  • CNA向量（已锁定）
• CVSS v2： 攻击向量、复杂性、身份验证、机密性、完整性、可用性等多项指标（已锁定）

漏洞利用信息

• 类别： 跨站请求伪造
• CWE： CWE-352 / CWE-862 / CWE-863
• CAPEC & ATT&CK信息：（已锁定）
• 物理/本地/远程： 物理访问：否 / 本地访问：否 / 远程访问：是
• 状态/价格预测/当前价格估算：（已锁定或待分析）

威胁情报

• 关注度/活跃攻击者/活跃APT组织：（待分析）

应对措施

• 建议： 暂无已知的缓解措施
• 状态/0-Day时间：（待分析或已锁定）

时间线

• 2025年12月1日： 安全公告披露
• 2025年12月1日： （+0天）VulDB条目创建
• 2025年12月2日： （+1天）VulDB条目最后更新

来源

• 公告： wordfence.com
• 状态： 未定义
• CVE： CVE-2025-13606（已锁定）
• GCVE (CVE)： GCVE-0-2025-13606
• GCVE (VulDB)： GCVE-100-333952
• 另见：（已锁定）

条目信息

• 创建于： 2025年12月1日 下午11:37
• 更新于： 2025年12月2日 上午8:29
• 变更： 2025年12月1日 下午11:37 (52), 2025年12月2日 上午8:29 (12)
• 完成度：（待分析）