漏洞概述 CVE-2025-9294 是存在于 Quiz And Survey Master (QSM) 插件中的一个缺失授权(Missing Authorization)漏洞。该漏洞允许低权限的认证用户(例如“订阅者”级别)删除他们本不应触碰的测验结果。这并非关于猜测密码或绕过登录,而是关于服务器端操作错误地信任了一个通用的 nonce。由于 QSM 结果常包含业务数据(如评估、培训记录、考试尝试等),且该插件拥有大量订阅者用户,此漏洞可能导致现实的数据完整性与可用性风险。 影响范围 CVE ID: CVE-2025-9294 受影响插件: Quiz And Survey Master 受影响版本: <= 10.3.1 活跃安装量: 50,000+ 总安装量: 3,108,304 发布日期: 2025 年 1 月 5 日 研究人员: Dmitri Ignatyev POC 代码 修复方案 1. 强制授权检查: 处理器应要求严格的能力(如 或插件特定能力),该能力仅授予受信任的管理员角色。 2. 验证用户权限:验证当前用户是否被允许删除结果,并选择性地限制删除结果(如果该功能旨在如此)。 3. Nonce 验证:在能力检查通过后,仍需验证 Nonce 作为额外的 CSRF 保护层。 4. 输入验证与审计:在执行删除操作前,验证 为整数并确认结果存在,同时记录操作者 ID 以便审计。 5. 缓解措施**:减少可访问 QSM 管理后台的用户数量,禁用不必要的注册流,并监控管理-ajax 请求以检测异常的大批量删除操作。