Cardealer <= 1.6.4 - Cross-Site Request Forgery to User Update via update_user_profile 漏洞信息(CVE-2025-1687)

一、漏洞 CVE-2025-1687 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞标题

Cardealer <= 1.6.4 版本存在跨站请求伪造漏洞可更新用户信息

来源：AIGC 神龙大模型

漏洞描述信息

WordPress使用的Cardealer主题在版本1.6.4及之前版本中存在跨站请求伪造漏洞。这是因为'update_user_profile'函数缺少nonce验证。这使得未经身份验证的攻击者可以通过伪造的请求更新用户邮箱和密码，前提是攻击者能够诱使站点管理员执行某些操作，如点击链接。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

跨站请求伪造(CSRF)

来源：AIGC 神龙大模型

漏洞标题

Cardealer <= 1.6.4 - Cross-Site Request Forgery to User Update via update_user_profile

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Cardealer theme for WordPress is vulnerable to Cross-Site Request Forgery in versions up to, and including, 1.6.4. This is due to missing nonce validation on the 'update_user_profile' function. This makes it possible for unauthenticated attackers to update the user email and password via a forged request, granted they can trick a site administrator into performing an action such as clicking on a link.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

跨站请求伪造(CSRF)

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-1687 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-1687 的情报信息

标题： Cardealer <= 1.6.4 - Cross-Site Request Forgery to User Update via update_user_profile -- 🔗来源链接

标签：
标题： Car Dealership Automotive WordPress Theme – Responsive by ThemeMakers -- 🔗来源链接

标签：
标题： CarDealer WordPress Theme - Changelog file -- 🔗来源链接

标签：
https://nvd.nist.gov/vuln/detail/CVE-2025-1687

一、 漏洞 CVE-2025-1687 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-1687 的公开POC

三、漏洞 CVE-2025-1687 的情报信息

一、漏洞 CVE-2025-1687 基础信息