漏洞关键信息总结 1. 漏洞概述 CVE编号: CVE-2025-8669 漏洞名称: Customify [THEME] – Unauth CSRF to Reset of All Settings (Customify主题 - 未授权CSRF重置所有设置) 漏洞描述: Customify主题中的 端点存在严重缺陷,缺乏非ce nonce(nonce)保护和能力检查(capability checks)。这允许未经身份验证的攻击者通过发送单个CSRF请求,强制重置WordPress网站上几乎所有Customify主题的设置(包括布局、颜色、排版、页眉、页脚、WooCommerce集成等)。 2. 影响范围 受影响组件: Customify [THEME] 受影响版本: Customify <= 0.411 活跃安装量: 50,000+ 研究员: Dmitrii Ignatyev 3. 修复方案与建议 时间线: 2025年8月22日:完成插件测试和漏洞检测,并向作者提供PoC及修复建议。 2025年10月9日:注册CVE-2025-8669。 修复建议: 遵循WordPress最佳实践,在AJAX处理程序中实施双重验证(nonces)和能力检查,以防止CSRF攻击和未授权操作。 4. POC代码 (Proof of Concept)**