CVE-2025-13737 - Nextend Social Login and Register <= 3.1.21 - 跨站请求伪造导致用户社交登录解绑
概述
WordPress的Nextend Social Login and Register插件在所有版本至3.1.21(包含)中,存在跨站请求伪造(CSRF)漏洞。这是由于unlinkUser函数缺少或存在错误的随机数(nonce)验证。这使得未经身份验证的攻击者有可能通过伪造的请求来解绑用户的社交登录,前提是他们能诱骗网站管理员执行某个操作,例如点击链接。
漏洞时间线
- 发布日期:2025年11月28日 上午4:16
- 最后修改日期:2025年11月28日 上午4:16
- 远程可利用:是!
- 来源:security@wordfence.com
受影响产品
- 以下产品受CVE-2025-13737漏洞影响。即使cvefeed.io知道受影响产品的确切版本,以下表格中也不显示该信息。
- 尚未记录受影响的产品
- 受影响供应商总数:0 | 产品数量:0
CVSS 评分
通用漏洞评分系统(CVSS)是评估软件和系统中漏洞严重性的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 4.3 | CVSS 3.1 | 中等 | 2.8 | 1.4 | security@wordfence.com | |
| 4.3 | CVSS 3.1 | 中等 | 2.8 | 1.4 | MITRE-CVE |
解决方案
更新Nextend Social Login and Register插件以修补跨站请求伪造漏洞。
- 更新Nextend Social Login and Register插件。
- 验证随机数验证是否已正确实施。
相关公告、解决方案和工具参考
在这里,您可以找到与CVE-2025-13737相关的深入信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 通用缺陷枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-13737与以下CWE相关联:
- CWE-352:跨站请求伪造(CSRF)
常见攻击模式枚举和分类 (CAPEC)
常见攻击模式枚举和分类 (CAPEC) 存储了攻击模式,即对手利用CVE-2025-13737弱点的常用属性和方法的描述。
- CAPEC-62:跨站请求伪造
- CAPEC-111:JSON劫持(又名JavaScript劫持)
- CAPEC-462:跨域搜索计时
- CAPEC-467:跨站识别
漏洞评分详情
CVSS 3.1
- 基础CVSS分数:4.3
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 需要 | 未改变 | 无 | 低 | 无 |
| 网络、邻近、本地、物理 | 低、高 | 无、低、高 | 无、需要 | 已改变、未改变 | 高、低、无 | 高、低、无 | 高、低、无 |