CVE-2025-68601: CSRF in Five Star Restaurant Reservations

跨站请求伪造 (CSRF) 漏洞允许攻击者冒充合法用户向服务器发送恶意请求。在 Five Star Restaurant Reservations 中，攻击者可以利用此漏洞创建、修改或删除预订，更改用户配置，甚至可能执行其他管理操作，具体取决于应用程序的权限控制。如果攻击者能够获取用户的 Cookie 或会话信息，他们可以更轻松地利用此漏洞。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来触发 CSRF 攻击，从而在用户不知情的情况下执行恶意操作。此漏洞的潜在影响包括预订信息泄露、餐厅运营中断以及用户账户被盗用。

Websites utilizing the Five Star Restaurant Reservations plugin, particularly those with user accounts and reservation functionality, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially impact others.

• wordpress / composer / npm:

grep -r 'restaurant-reservations/includes/class-reservation.php' . |
 grep -i 'add_reservation' # Look for vulnerable code patterns

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=restaurant_reservations_add_reservation&reservation_date=2024-12-31&reservation_time=19%3A00&number_of_guests=2 # Check for lack of CSRF token in request

1. 2025-12-24Disclosure

   disclosure

1. 已保留2025-12-19
2. 发布日期2025-12-24
3. 修改日期2026-04-28
4. EPSS 更新日期2026-03-23

为了缓解 CVE-2025-68601 漏洞，首要措施是立即升级到 2.7.9 或更高版本。如果无法立即升级，可以考虑实施以下临时缓解措施：实施严格的输入验证和输出编码，以防止恶意数据注入。使用 CSRF 令牌，并在每个敏感操作中验证令牌的有效性。启用 HTTPOnly Cookie 标志，以防止 JavaScript 访问 Cookie，从而降低攻击风险。考虑使用内容安全策略 (CSP) 来限制浏览器可以加载的资源，从而减少攻击面。在升级后，请确认漏洞已修复，可以通过尝试执行敏感操作并验证是否需要 CSRF 令牌来验证。