概述
CVE-2025-12028是一个影响WordPress IndieAuth插件的高危漏洞,CVSS评分为8.8分。该漏洞存在于4.5.4及之前的所有版本中。
漏洞描述
WordPress IndieAuth插件在所有版本(包括4.5.4)中存在跨站请求伪造漏洞。这是由于login_form_indieauth()函数和授权端点(wp-login.php?action=indieauth)缺少nonce验证机制。
未经验证的攻击者可以通过伪造请求,诱骗已认证用户批准攻击者控制应用程序的OAuth授权请求。攻击者只需诱使用户执行点击链接或访问恶意页面等操作,即可窃取授权代码并将其交换为访问令牌,从而完全接管受害者账户,并获得创建、更新、删除等权限。
技术细节
受影响组件
login_form_indieauth()函数- 授权端点:wp-login.php?action=indieauth
攻击向量
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
解决方案
- 更新插件:将IndieAuth插件更新到已修复该漏洞的最新版本
- 验证nonce检查:确保正确实现nonce验证机制
- 审查授权端点安全:检查授权端点的安全配置
- 临时禁用:如果无法立即更新,建议暂时禁用插件
CVSS评分详情
- 基础评分:8.8(高危)
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
相关资源
CWE关联
- CWE-352:跨站请求伪造
时间线
- 发布日期:2025年10月24日
- 最后修改:2025年10月24日
- 远程利用:是
- 信息来源:security@wordfence.com