漏洞概述
CVE-2025-14907 是一个影响 WordPress Moderate Selected Posts 插件的安全漏洞。该漏洞属于跨站请求伪造(CSRF),影响版本1.4及以下。
漏洞描述
由于插件在 msp_admin_page() 函数中缺少 Nonce(随机数)验证,未经身份验证的攻击者可以通过伪造请求来修改插件设置。攻击者需要诱骗已登录的网站管理员执行一个恶意操作(例如点击一个恶意链接),从而利用该漏洞。
漏洞详情
| 字段 | 信息 |
|---|---|
| CVE ID | CVE-2025-14907 |
| 公开日期 | 2026年1月24日 |
| CVSS 3.1 评分 | 4.3 (中等) |
| 攻击向量 | 网络 |
| 攻击复杂度 | 低 |
| 所需权限 | 无 |
| 需要用户交互 | 需要 |
| 影响范围 | 未改变 |
| 机密性影响 | 无 |
| 完整性影响 | 低 |
| 可用性影响 | 无 |
| 利用方式 | 远程 |
| 漏洞来源 | security@wordfence.com |
受影响产品
- 产品: Moderate Selected Posts 插件
- 厂商: WordPress
- 受影响版本: 1.4及以下所有版本
解决方案
- 立即更新插件: 将 Moderate Selected Posts 插件更新到最新的 1.5版本 或更高版本,该版本已修复此CSRF漏洞。
- 验证修复: 更新后,建议验证插件代码中是否正确实施了Nonce验证。
- 临时措施: 如果无法立即更新,或该插件不再需要,建议将其停用并删除,以消除潜在风险。
技术参考
相关链接
漏洞分类 (CWE)
- CWE-352: 跨站请求伪造 (CSRF)
常见攻击模式 (CAPEC)
- CAPEC-62: 跨站请求伪造
- CAPEC-111: JSON劫持 (又名 JavaScript 劫持)
- CAPEC-462: 跨域搜索计时
- CAPEC-467: 跨站识别FINISHED LQuBhaqoQIY4rPtQA72Cjg7QBqM4uFgolxdjEx1zlRiT6gYlEPbp44kE341IbE/d
