Stopwords for comments <= 1.1 - Missing Authorization to Cross-Site Request Forgery 漏洞信息(CVE-2025-15376)

一、漏洞 CVE-2025-15376 基础信息

漏洞信息

                                        # 评论停用词 <= 1.1 跨站请求伪造漏洞

## 概述
Stopwords for comments 插件在所有版本至 1.1（含）中存在跨站请求伪造（CSRF）漏洞。

## 影响版本
1.1 及以下所有版本。

## 细节
该漏洞源于 `set_stopwords_for_comments` 和 `delete_stopwords_for_comments` 函数缺少 nonce 验证，导致无法验证请求来源的合法性。

## 影响
未经身份验证的攻击者可构造恶意请求，诱使管理员点击链接，从而在未经授权的情况下添加或删除评论中的停用词。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Stopwords for comments <= 1.1 - Missing Authorization to Cross-Site Request Forgery

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Stopwords for comments plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.1. This is due to missing nonce validation on the 'set_stopwords_for_comments' and 'delete_stopwords_for_comments' functions. This makes it possible for unauthenticated attackers to add or delete stopwords via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

跨站请求伪造(CSRF)

来源：美国国家漏洞数据库 NVD

漏洞标题

WordPress plugin Stopwords for comments 跨站请求伪造漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin Stopwords for comments 1.1及之前版本存在跨站请求伪造漏洞，该漏洞源于缺少随机数验证，可能导致跨站请求伪造攻击。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

跨站请求伪造

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-15376 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-15376 的情报信息

标题： ERROR: The request could not be satisfied -- 🔗来源链接

标签：

神龙速读：

                                        ### 关键信息

- **HTTP状态码:** 403 Forbidden
- **错误消息:** The request could not be satisfied
- **原因分析:**
  - 请求被阻止
  - 无法连接到服务器，可能是由于流量过大或配置错误
  - 与CloudFront CDN服务相关的问题
- **建议操作:**
  - 稍后重试
  - 联系应用程序或网站所有者
  - 查看CloudFront文档以解决和预防错误
- **生成工具:** cloudfront CDN服务
- **请求ID:** JqlyTXU-X7IfJZW7sT5Tt4tNmU4cHg0VYBYXQHEjbTohmVjpTmtPHw==

ERROR: The request could not be satisfied

https://plugins.trac.wordpress.org/browser/stopwords-for-comments/trunk/functions.php?marks=151,170#L151
https://nvd.nist.gov/vuln/detail/CVE-2025-15376

四、漏洞 CVE-2025-15376 的评论

匿名用户

2026-01-15 06:08:24

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-15376 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-15376 的公开POC

三、漏洞 CVE-2025-15376 的情报信息

四、漏洞 CVE-2025-15376 的评论

匿名用户

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-15376 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-15376 的公开POC

三、漏洞 CVE-2025-15376 的情报信息

四、漏洞 CVE-2025-15376 的评论

匿名用户

发表评论

一、漏洞 CVE-2025-15376 基础信息