概述
CVE标识符: CVE-2025-13205
受影响产品: SurveyJS: Drag & Drop WordPress Form Builder (版本 ≤ 1.12.20)
漏洞类型: 跨站请求伪造 (Cross-Site Request Forgery)
CVSS v3.1评分: 4.3 (中危)
漏洞描述
SurveyJS WordPress插件在所有版本(包括1.12.20及更早版本)中存在跨站请求伪造(CSRF)漏洞。该漏洞是由于SurveyJS_CloneSurvey AJAX操作中缺少或不正确的nonce验证导致的。未认证的攻击者可以通过伪造请求来复制调查问卷,前提是能够诱骗网站管理员执行诸如点击链接等操作。
受影响的产品
目前尚未记录确切受影响的产品信息。
CVSS评分详情
| 指标 | 数值 |
|---|---|
| 基础评分 | 4.3 (中危) |
| 攻击向量 | 网络 (Network) |
| 攻击复杂度 | 低 (Low) |
| 所需权限 | 无 (None) |
| 用户交互 | 需要 (Required) |
| 范围 | 未改变 (Unchanged) |
| 机密性影响 | 无 (None) |
| 完整性影响 | 低 (Low) |
| 可用性影响 | 无 (None) |
| 可利用性评分 | 2.8 |
| 影响评分 | 1.4 |
解决方案
- 将SurveyJS WordPress插件更新到最新版本以修复跨站请求伪造漏洞
- 确保正确实现nonce验证机制
相关CWE分类
CWE-352: 跨站请求伪造 (Cross-Site Request Forgery)
CAPEC攻击模式
- CAPEC-62: 跨站请求伪造
- CAPEC-111: JSON劫持(又称JavaScript劫持)
- CAPEC-462: 跨域搜索时序攻击
- CAPEC-467: 跨站身份识别
参考资料
漏洞时间线
| 日期 | 事件 |
|---|---|
| 2026年1月24日 | security@wordfence.com 接收新CVE |
CVSS v3.1 向量详情
- 攻击向量: 网络 (AV:N)
- 攻击复杂度: 低 (AC:L)
- 所需权限: 无 (PR:N)
- 用户交互: 需要 (UI:R)
- 范围: 未改变 (S:U)
- 机密性影响: 无 (C:N)
- 完整性影响: 低 (I:L)
- 可用性影响: 无 (A:N) LQuBhaqoQIY4rPtQA72Cjg7QBqM4uFgolxdjEx1zlRg4OmtI2eCNEKLhks+ff+wT
