一、 漏洞 CVE-2025-12095 基础信息
漏洞信息
                                        # Simple Registration for WooCommerce 跨站请求伪造越权漏洞

## 概述

Simple Registration for WooCommerce 插件存在跨站请求伪造(CSRF)漏洞,影响版本 1.5.8 及之前版本。

## 影响版本

- 所有版本 up to and including 1.5.8

## 细节

漏洞源于 `includes/display-role-admin.php` 文件中对角色请求管理页面的操作未进行 nonce 验证。

## 影响

攻击者可通过伪造请求,诱导站点管理员点击恶意链接,在无需认证的情况下批准待定的角色请求,从而实现用户权限提升。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Simple Registration for WooCommerce <= 1.5.8 - Cross-Site Request Forgery to Privilege Escalation via Role Request Approval
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Simple Registration for WooCommerce plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.5.8. This is due to missing nonce validation on the role requests admin page handler in the includes/display-role-admin.php file. This makes it possible for unauthenticated attackers to approve pending role requests and escalate user privileges via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-12095 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-12095 的情报信息
四、漏洞 CVE-2025-12095 的评论

暂无评论

发表评论