ShopEngine <= 4.8.5 - विशलिस्ट में हेरफेर करने के लिए क्रॉस-साइट रिक्वेस्ट फोर्जरी
प्लेटफ़ॉर्म
wordpress
घटक
shopengine
में ठीक किया गया
4.8.6
CVE-2025-12358 describes a Cross-Site Request Forgery (CSRF) vulnerability discovered in the ShopEngine Elementor WooCommerce Builder Addon plugin for WordPress. This flaw allows unauthenticated attackers to manipulate user wishlists by tricking users into performing actions via forged requests. The vulnerability impacts versions 0.0.0 through 4.8.5, and a patch is available in version 4.8.6.
इस CVE को अपने प्रोजेक्ट में पहचानें
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…
The primary impact of this CSRF vulnerability lies in the potential for unauthorized modification of user wishlists within a WordPress store. An attacker could craft malicious links or embed hidden forms that, when visited or submitted by a legitimate user, would silently add or remove products from their wishlist. This could be used for various malicious purposes, such as disrupting the user experience, manipulating purchase decisions, or even potentially gaining access to sensitive user data if the wishlist is linked to other user information. While the direct impact is limited to wishlist manipulation, the ease of exploitation and the potential for social engineering attacks make this a concerning vulnerability.
शोषण संदर्भअनुवाद हो रहा है…
CVE-2025-12358 was publicly disclosed on December 3, 2025. No public proof-of-concept exploits are currently known. The vulnerability is not listed on the CISA KEV catalog as of this writing. Given the relatively simple nature of CSRF exploitation, it is possible that attackers may develop and deploy exploits in the future.
कौन जोखिम में हैअनुवाद हो रहा है…
WordPress site owners utilizing the ShopEngine Elementor WooCommerce Builder Addon plugin, particularly those running older versions (0.0.0–4.8.5), are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
पहचान के चरणअनुवाद हो रहा है…
• wordpress / composer / npm:
grep -r "post_add_to_list" /var/www/html/wp-content/plugins/shopengine-elementor-woocommerce-builder-addon/• generic web:
curl -I https://your-wordpress-site.com/ | grep -i 'csrf-token'हमले की समयरेखा
- Disclosure
disclosure
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVSS वेक्टर
इन मेट्रिक्स का क्या मतलब है?
- Attack Vector
- नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
- Attack Complexity
- निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
- Privileges Required
- कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
- User Interaction
- आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
- Scope
- अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
- Confidentiality
- कोई नहीं — गोपनीयता पर कोई प्रभाव नहीं।
- Integrity
- निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
- Availability
- कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।
प्रभावित सॉफ्टवेयर
पैकेज जानकारी
- सक्रिय इंस्टॉलेशन
- 90Kज्ञात
- प्लगइन रेटिंग
- 4.6
- संगत संस्करण तक
- 7.0
- PHP आवश्यक
- 7.4+
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- संशोधित
- EPSS अद्यतन
शमन और वर्कअराउंडअनुवाद हो रहा है…
The recommended mitigation for CVE-2025-12358 is to immediately upgrade the ShopEngine Elementor WooCommerce Builder Addon plugin to version 4.8.6 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider implementing a Web Application Firewall (WAF) with CSRF protection rules to filter out malicious requests. Additionally, review and strengthen user awareness training to educate users about the risks of clicking on suspicious links or submitting forms from untrusted sources. There are no specific Sigma or YARA rules available for this vulnerability at this time.
कैसे ठीक करें
संस्करण 4.8.6 में अपडेट करें, या एक नया पैच किया गया संस्करण
CVE सुरक्षा न्यूज़लेटर
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…
What is CVE-2025-12358 — CSRF in ShopEngine Elementor WooCommerce Builder Addon?
CVE-2025-12358 is a Cross-Site Request Forgery (CSRF) vulnerability affecting the ShopEngine Elementor WooCommerce Builder Addon plugin for WordPress, allowing attackers to manipulate user wishlists.
Am I affected by CVE-2025-12358 in ShopEngine Elementor WooCommerce Builder Addon?
Yes, if you are using ShopEngine Elementor WooCommerce Builder Addon versions 0.0.0 through 4.8.5, you are vulnerable to this CSRF attack.
How do I fix CVE-2025-12358 in ShopEngine Elementor WooCommerce Builder Addon?
Upgrade the plugin to version 4.8.6 or later to resolve the vulnerability. Consider WAF rules as a temporary workaround if upgrading is not immediately possible.
Is CVE-2025-12358 being actively exploited?
As of December 3, 2025, no active exploitation has been confirmed, but the ease of CSRF exploitation suggests potential future attacks.
Where can I find the official ShopEngine advisory for CVE-2025-12358?
Refer to the official ShopEngine website and WordPress plugin repository for the latest advisory and update information regarding CVE-2025-12358.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।