摘要信息
在WordPress平台的SurveyJS插件(版本1.12.20及更早版本)中发现一个漏洞,被归类为“有问题”。受影响的函数是SurveyJS_DeleteSurvey。攻击操作会导致跨站请求伪造。
此漏洞被标识为CVE-2025-13140。攻击可以远程发起。目前尚无公开的利用程序。
详细信息
在WordPress平台的SurveyJS插件(版本1.12.20及更早版本)中发现一个漏洞,被归类为“有问题”。此问题影响到SurveyJS_DeleteSurvey函数。对未知输入的操作导致了跨站请求伪造漏洞。使用CWE描述该问题属于CWE-352。受影响的Web应用程序没有或无法充分验证一个格式正确、有效、一致的请求是否由提交该请求的用户有意提供。受影响的是完整性。CVE的总结如下:
SurveyJS: Drag & Drop WordPress Form Builder插件(适用于WordPress)在1.12.20及之前的所有版本中,容易受到跨站请求伪造攻击。这是由于
SurveyJS_DeleteSurveyAJAX操作缺少nonce验证。这使得未经身份验证的攻击者能够通过伪造请求删除调查问卷,前提是他们能诱骗网站管理员执行诸如点击链接之类的操作。
可以在wordfence.com上阅读公告。此漏洞的标识符为CVE-2025-13140。已知利用难度较低。攻击可以远程发起。成功利用无需任何形式的身份验证。它要求受害者进行某种用户交互。已知漏洞的技术细节,但目前没有可用的利用程序。尚无已知的缓解措施信息。建议使用替代产品替换受影响的对象。条目VDB-282309、VDB-298070、VDB-303433和VDB-303460与此相关。
产品信息
类型: WordPress插件 名称: SurveyJS Plugin 版本: 1.12.0, 1.12.1, 1.12.2, 1.12.3, 1.12.4, 1.12.5, 1.12.6, 1.12.7, 1.12.8, 1.12.9, 1.12.10, 1.12.11, 1.12.12, 1.12.13, 1.12.14, 1.12.15, 1.12.16, 1.12.17, 1.12.18, 1.12.19, 1.12.20
漏洞评分与元信息
CVSS元基准分数: 4.3 CVSS元临时分数: 4.2 当前漏洞利用价格估算: $0 - $5k CTI兴趣分数: 1.67
CNA基准分数: 4.3
利用信息
分类: 跨站请求伪造 CWE: CWE-352 / CWE-862 / CWE-863 物理接触: 否 本地攻击: 否 远程攻击: 是 状态: 未定义 价格预测: 🔍 当前价格估算: 🔒
威胁情报
关注度: 🔍 活跃的攻击者: 🔍 活跃的APT组织: 🔍
缓解措施
建议: 暂无已知缓解措施 状态: 🔍 0-Day时间: 🔒
时间线
- 2025年12月01日 公告披露
- 2025年12月01日 VulDB条目创建(+0天)
- 2025年12月02日 VulDB条目最后更新(+1天)
来源信息
公告: wordfence.com 状态: 未定义 CVE: CVE-2025-13140 (🔒) GCVE (CVE): GCVE-0-2025-13140 GCVE (VulDB): GCVE-100-333959
条目信息
创建时间: 2025年12月01日 下午11:38 更新时间: 2025年12月02日 上午08:29 变更: 2025年12月01日 下午11:38 (51), 2025年12月02日 上午08:29 (10) 完整性: 🔍 缓存ID: 120:E1D:111