概述
CVE-2025-11976
FuseWP – WordPress用户同步到邮件列表和营销自动化插件(支持Mailchimp、Constant Contact、ActiveCampaign等)<= 1.1.23.0版本 - 跨站请求伪造导致同步规则创建漏洞
漏洞描述
FuseWP – WordPress用户同步到邮件列表和营销自动化插件(支持Mailchimp、Constant Contact、ActiveCampaign等)在所有版本直至包括1.1.23.0版本中存在跨站请求伪造漏洞。这是由于save_changes函数中缺少或不正确的随机数验证导致的。这使得未经身份验证的攻击者能够通过伪造的请求添加或编辑同步规则,前提是他们能够诱骗网站管理员执行诸如点击链接之类的操作。
漏洞信息
发布日期: 2025年10月25日 上午7:15
最后修改: 2025年10月25日 上午7:15
远程利用: 是
受影响产品
以下产品受到CVE-2025-11976漏洞影响。即使cvefeed.io知晓受影响产品的确切版本信息,下表中也未显示该信息。
尚未记录受影响产品
总受影响供应商:0 | 产品:0
CVSS评分
评分详情
| 评分 | 版本 | 严重程度 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 4.3 | CVSS 3.1 | 中等 | 2.8 | 1.4 | security@wordfence.com |
解决方案
- 将FuseWP插件更新到最新版本以修复CSRF漏洞
- 验证save_changes函数中的随机数验证
- 确保所有敏感操作都使用适当的随机数检查
参考资源
CWE - 常见弱点枚举
CVE-2025-11976与以下CWE相关联:
CWE-352:跨站请求伪造(CSRF)
常见攻击模式枚举和分类(CAPEC)
与CVE-2025-11976弱点相关的攻击模式:
- CAPEC-62:跨站请求伪造
- CAPEC-111:JSON劫持(又名JavaScript劫持)
- CAPEC-462:跨域搜索时序
- CAPEC-467:跨站识别
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | FuseWP – WordPress用户同步到邮件列表和营销自动化插件(支持Mailchimp、Constant Contact、ActiveCampaign等)在所有版本直至包括1.1.23.0版本中存在跨站请求伪造漏洞。这是由于save_changes函数中缺少或不正确的随机数验证导致的。这使得未经身份验证的攻击者能够通过伪造的请求添加或编辑同步规则,前提是他们能够诱骗网站管理员执行诸如点击链接之类的操作。 | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | |
| 添加 | CWE | CWE-352 | |
| 添加 | 参考 | https://plugins.trac.wordpress.org/changeset/3383939/fusewp/trunk/src/core/src/Admin/SettingsPage/SyncPage.php | |
| 添加 | 参考 | https://www.wordfence.com/threat-intel/vulnerabilities/id/e5957d6b-40e5-44c4-9a1b-e9c49e175162?source=cve |
漏洞评分详情
CVSS 3.1基础评分:4.3
攻击向量:网络 攻击复杂度:低 所需权限:无 用户交互:需要 范围:未更改 机密性影响:无 完整性影响:低 可用性影响:无