漏洞概述 CVE ID: CVE-2025-13620 漏洞类型: 缺失授权 / 不当授权 (Missing Authorization / Improper Authorization) 描述: 该漏洞存在于 WordPress 插件 "Wp Social Login and Register Social Counter" 中。多个 REST API 路由在没有认证的情况下暴露。这些路由由 设置为 的处理程序注册,这些处理程序执行状态更改的缓存操作,没有任何能力检查或非ce验证。 后果: 未授权的攻击者可以清除和覆盖插件的缓存社交计数值(特别是 Instagram),这直接影响前端小部件输出,并可被滥用以显示不正确的关注者计数或破坏计数功能。 影响范围 受影响插件版本: Wp Social Login and Register Social Counter <= 3.1.3 活跃安装数: 70,000+ 受影响的路由: 利用条件: 攻击者无需登录即可利用此漏洞。 POC代码 修复方案 1. 核心修复: 将这些路由视为特权(privileged),因为它们影响前端输出。 2. 具体建议: 至少,插件应该用 替换为具有实际意义的回调(例如,管理员级别的能力如 ,或插件特定的能力)。 验证请求意图,对于 WordPress 管理员发起的操作,使用 nonce。 这与 WordPress REST 的一般指导方针一致,即权限回调应反映路由的实际访问级别。 3. 临时措施:** 对于网站所有者,立即的防御措施是更新到包含授权修复的版本(3.1.4),或者暂时禁用插件或阻止边缘(WAF/CDN)上的易受攻击的 REST 路由。