一、 漏洞 CVE-2025-5019 基础信息
漏洞信息
                                        # Hive Support 版本小于等于 1.2.4 - 通过 hs_update_ai_chat_settings 函数实现的跨站请求伪造漏洞

## 概述
WordPress 插件 The Hive Support | AI-Powered Help Desk, Live Chat & AI Chat Bot 存在跨站请求伪造 (Cross-Site Request Forgery, CSRF) 漏洞。该漏洞是由于 `hs_update_ai_chat_settings()` 函数中缺少或错误的 nonce 验证导致的。

## 影响版本
所有版本,直到包括 1.2.2 版本在内都受到影响。

## 细节
由于 `hs_update_ai_chat_settings()` 函数缺乏有效的 nonce 验证,未认证的攻击者可以通过伪造请求重配置插件的 AI/聊天设置,包括 API 密钥。攻击者还可以通过诱使管理员执行某些操作(例如点击链接),将通知重定向到攻击者控制的端点,从而导致数据泄露。

## 影响
- 未认证的攻击者可以更改插件配置,包括 API 密钥
- 攻击者可以重定向通知或泄露数据到攻击者控制的端点
- 攻击需要诱使管理员执行动作(例如点击链接)
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Hive Support <= 1.2.4 - Cross-Site Request Forgery via hs_update_ai_chat_settings Function
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Hive Support | AI-Powered Help Desk, Live Chat & AI Chat Bot Plugin for WordPress plugin for WordPress is vulnerable to Cross-Site Request Forgery in all versions up to, and including, 1.2.2. This is due to missing or incorrect nonce validation on the hs_update_ai_chat_settings() function. This makes it possible for unauthenticated attackers to reconfigure the plugin’s AI/chat settings (including API keys) and to potentially redirect notifications or leak data to attacker-controlled endpoints via a forged request granted they can trick a site administrator into performing an action such as clicking on a link.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
跨站请求伪造(CSRF)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-5019 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-5019 的情报信息

  • 标题: Hive Support <= 1.2.4 - Cross-Site Request Forgery via hs_update_ai_chat_settings Function -- 🔗来源链接

    标签:

    神龙速读
    Hive Support <= 1.2.4 - Cross-Site Request Forgery via hs_update_ai_chat_settings Function

  • 标题: class-hive-support-chat-ajax.php in hive-support/tags/1.2.4/backend – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    class-hive-support-chat-ajax.php in hive-support/tags/1.2.4/backend – WordPress Plugin Repository

  • 标题: Hive Support | AI-Powered Help Desk, Live Chat & AI Chat Bot Plugin for WordPress – WordPress plugin | WordPress.org -- 🔗来源链接

    标签:

    神龙速读
    Hive Support | AI-Powered Help Desk, Live Chat & AI Chat Bot Plugin for WordPress – WordPress plugin | WordPress.org

  • 标题: class-hive-support-chat-ajax.php in hive-support/tags/1.2.4/backend – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    class-hive-support-chat-ajax.php in hive-support/tags/1.2.4/backend – WordPress Plugin Repository
  • https://nvd.nist.gov/vuln/detail/CVE-2025-5019