https://blog.qife122.com/tags/cve-2025-13408/ Recent content in CVE-2025-13408 on 办公AI智能小助手 Hugo zh-cn qife Sat, 03 Jan 2026 06:38:45 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6csrf%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90foxtool-all-in-one%E7%9A%84%E9%9D%9Ece%E9%AA%8C%E8%AF%81%E7%BC%BA%E9%99%B7/ Sat, 03 Jan 2026 06:38:45 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6csrf%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90foxtool-all-in-one%E7%9A%84%E9%9D%9Ece%E9%AA%8C%E8%AF%81%E7%BC%BA%E9%99%B7/ <h1 id="cve-2025-13408-foxtheme-foxtool-all-in-one插件中的cwe-352跨站请求伪造csrf漏洞">CVE-2025-13408: foxtheme Foxtool All-in-One插件中的CWE-352跨站请求伪造（CSRF）漏洞</h1> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong></p> <h2 id="cve-2025-13408">CVE-2025-13408</h2> <p>适用于WordPress的Foxtool All-in-One插件（功能包括：联系聊天按钮、自定义登录、媒体图片优化）在2.5.2及之前的所有版本中容易受到跨站请求伪造攻击。这是由于<code>foxtool_login_google()</code>函数缺少或存在错误的随机数验证。这使得未经身份验证的攻击者能够通过伪造的请求建立OAuth连接，前提是他们可以诱骗站点管理员执行诸如点击链接之类的操作。</p>