CVE-2025-13685 Ays相册插件process_bulk_action跨站请求伪造漏洞

概述

在WordPress平台的Ays相册插件6.4.8及之前版本中发现了一个被评定为有问题的漏洞。该漏洞影响process_bulk_action函数。攻击者的操纵行为会导致跨站请求伪造。

此漏洞被标识为CVE-2025-13685。攻击可以远程发起。目前尚未有任何已知的公开漏洞利用程序。

详情

在WordPress平台Ays相册插件6.4.8及之前版本中发现一个漏洞，被归类为“有问题”。该漏洞影响process_bulk_action函数。利用未知输入进行的操纵导致了跨站请求伪造漏洞。CWE将此问题归类为CWE-352。受影响的Web应用程序没有或无法充分验证一个格式正确、有效、一致的请求是否是由提交该请求的用户有意提供的。这将影响数据的完整性。

CVE的摘要如下：

WordPress的Ays相册插件在6.4.8及之前的所有版本中都容易受到跨站请求伪造攻击。这是由于process_bulk_action()函数中的批量操作功能缺少随机数验证。这使得未经身份验证的攻击者能够通过伪造的请求执行批量操作（删除、发布或取消发布相册），前提是他们能诱骗管理员执行诸如点击链接之类的操作。

可以在wordfence.com上查阅安全公告。此漏洞被唯一标识为CVE-2025-13685。据称其可利用性为“容易”。攻击可以远程发起。漏洞利用无需任何形式的身份验证。但需要受害者进行某种用户交互。已知漏洞的技术细节，但目前没有可用的漏洞利用程序。尚无已知的应对措施信息。建议可能包括用替代产品替换受影响的对象。与此漏洞相关的条目可在VDB-193919、VDB-230902、VDB-251963和VDB-255492中找到。

产品信息

类型: 相册软件 供应商: Ays 名称: 相册插件 版本: 6.4.0, 6.4.1, 6.4.2, 6.4.3, 6.4.4, 6.4.5, 6.4.6, 6.4.7, 6.4.8

CVSS评分

VulDB Meta基础分数: 4.3 VulDB Meta临时分数: 4.2 VulDB基础分数: 4.3 VulDB临时分数: 4.2 CNA基础分数: 4.3

利用信息

类别: 跨站请求伪造 CWE: CWE-352 / CWE-862 / CWE-863 物理攻击: 否 本地攻击: 否 远程攻击: 是 状态: 未定义

威胁情报

当前漏洞利用价格估算: $0 - $5k CTI关注度分数: 1.81

应对措施

建议: 暂无已知的缓解措施

时间线

• 2025年12月01日: 安全公告披露
• 2025年12月01日: VulDB条目创建（+0天）
• 2025年12月02日: VulDB条目最后更新（+1天）

来源

安全公告: wordfence.com 状态: 未定义 CVE: CVE-2025-13685 GCVE: GCVE-0-2025-13685 VulDB GCVE: GCVE-100-333951

条目信息

创建时间: 2025年12月01日 下午11:37 更新时间: 2025年12月02日 上午08:29 变更记录: 2025年12月01日 下午11:37 (52次), 2025年12月02日 上午08:29 (10次)